PANDA CLOUD SYSTEMS MANAGEMENT. Handbuch für Partner und Administratoren PANDA CLOUDSYSTEMS MANAGEMENT. +Copyright-Vermerk

Transkript

1 PANDA CLOUD SYSTEMS Handbuch für Partner und Administratoren +Copyright-Vermerk Panda Security Alle Rechte vorbehalten. Weder die Dokumente noch die Programme, auf die Sie zugreifen können, dürfen ohne vorherige schriftliche Genehmigung von Panda Security, C/ Gran Vía Don Diego López de Haro 4, Bilbao (Bizkaia), SPANIEN, kopiert, reproduziert, übersetzt oder auf elektronische oder lesbare Medien überspielt werden. Eingetragene Warenzeichen. Windows Vista und das Windows Logo sind Warenzeichen oder eingetragene Warenzeichen der Microsoft Corporation in den Vereinigten Staaten und anderen Ländern. Alle anderen Produktnamen könnten eingetragene Warenzeichen ihrer jeweiligen Unternehmen sein. Panda Security Alle Rechte vorbehalten. 1

2 Inhaltsverzeichnis 1. VORWORT 9 Zielgruppe.9 Symbole EINFÜHRUNG 10 Hauptfunktionen von Panda Cloud Systems Management 10 Panda Cloud Systems Management Benutzerprofil.. 12 Hauptakteure von Panda Cloud Systems Management HIERARCHIE DER LEVEL INNERHALB DER PCSM-KONSOLE :.15 Systemlevel.. 16 Was ist das?..16 Anwendungsbereich..17 Zugriff...17 Funktionsweise.17 Profillevel..17 Was ist das?..17 Anwendungsbereich..19 Zugehörigkeit...19 Funktionsweise...20 Gerätelevel...20 Was ist das?..20 Anwendungsbereich.. 20 Funktionsweise.20 2

3 4. BASISKOMPONENTEN DER PCSM-KONSOLE.21 Allgemeines Menü.21 Tableiste/Listenleiste..22 Symbolleiste/Aktionsleiste 23 Filter und Gruppenpanel...24 Dashboards..25 Sicherheitsstatus.25 Systemdashboard..26 Zusammenfassung (Profil)...28 Zusammenfassung (Gerät) FILTER UND GRUPPEN.29 Was sind Gruppen und Filter? Arten von Gruppen und Filtern.. 29 Gruppen.29 Filter WIE MAN VERWALTETE GERÄTE EFFIZIENT GRUPPIERT 33 Unterschiede zwischen Profilen, Gruppen und Filtern..33 Profile...33 Filter und Gruppen. 33 Allgemeine Herangehensweise und Geräteverwaltungsstruktur.34 3

4 7. DIE ERSTEN 8 SCHRITTE ZUR BENUTZUNG VON PCSM. 36 Das erste Profil erstellen und konfigurieren...36 Den PCSM-Agenten installieren.37 Überprüfung der Geräteliste im Profil und Basisfilterung Hardware-, Software- und Lizenzprüfung...39 Patch-Management..40 Überwachungsprogramme erstellen...41 ComStore 42 Zugriff auf fernverwaltete Geräteressourcen RICHTLINIEN.46 Was sind Richtlinien?.. 46 Wie man eine Systemrichtlinie festlegt. 46 Wie man eine Profilrichtlinie festlegt..48 Wie man eine Geräterichtlinie festlegt..48 Arten von Richtlinien 49 Wie man eine Richtlinie anwendet ÜBERWACHUNG.. 53 Was ist das?.53 Struktur eines Überwachungsprogramms 53 Überwachungsprogramme erstellen...53 Schritt 1: Arten von Überwachungsprogrammen..55 Schritt 2: Einzelheiten zu Überwachungsprogrammen..56 4

5 Schritt 3: Einzelheiten zu Rückmeldungen...56 Schritt 4: Einzelheiten zu Tickets KOMPONENTENENTWICKLUNG...58 Warum Komponenten entwickeln?..58 Was sind die Voraussetzungen für das Entwickeln von Komponenten?..58 Allgemeine Architektur von PCSM-Komponenten...59 Übersichtstabelle.60 Eine Überwachungsprogrammkomponente erstellen..60 Komponentendarstellung und Zweck..60 Allgemeines Funktionsschema.63 Schritt 1: Laden der Komponente Überwachungsprogramm auf die PCSM- Plattform..63 Schritt 2: Installieren des Überwachungsprogramms durch System- oder Profilrichtlinien...65 Schritt 3: Umgebungsvariablen erstellen und die Komponenten alle 60 Sekunden ausführen.67 Schritt 4: Standardoutput alle 10 Minuten senden und in der PCSM-Plattform verarbeiten...69 Wie man globale Variablen nutzt 69 Wie man den Status eines Gerätes in der PCSM-Konsole anzeigt 70 Eine Skripttyp-Komponente erstellen Zentralisierte Softwarebereitstellung und Installation..73 Ziel der zentralisierten Softwareinstallation...73 Voraussetzungen für die zentralisierte Softwareinstallation..73 5

6 Paketbereitstellung und Installationsvorgang 74 Installationsbeispiele Dokumente mittels Skriptsprache installieren.75 Dokumente ohne Skriptsprache installieren.79 Installation von selbstinstallierender Software...83 Software ohne Installationsprogramm installieren...86 Bandbreite bei der Softwareinstallation sparen Ticketing.92 Was ist das Ticketsystem?...92 Beschreibung eines Tickets...92 Ein Ticket erstellen 94 Manuell vom Anwender über den PCSM-Agenten.94 Automatisch von einem Überwachungsprogramm, das einen Zustand auf dem Gerät des Anwenders entdeckt, der als Störung definiert ist Manuell von der IT-Abteilung von der PCSM-Konsole aus: Hierbei handelt es sich gewöhnlich um Erinnerungen oder Aufgaben, die sich offiziell in die Warteschlange der Abteilung einordnen...95 Ticketmanagement Patch-Management Was ist Patch-Management?.. 97 Welche Patches kann ich installieren/anwenden?..97 Patcheinsatz und installation...98 Methode 1: Manuelles Patch-Management.. 98 Methode 2: Windows Update-Richtlinien 102 6

7 Methode 3: Patch-Management-Richtlinien..105 Methodenvergleichstabelle. 108 Audits 108 Auswahlkriterien Tortendiagramm..109 Liste der gefährdeten Geräte Benutzerkonten und Rollen 110 Was ist ein Benutzerkonto? Was ist eine Rolle?.110 Warum sind Rollen notwendig? Die Rolle des Accountadmin.111 Zugriff auf das Benutzerkonto und Rollenkonfiguration Benutzerkonten anlegen und konfigurieren. 109 Rollen erstellen und konfigurieren 114 Rollen konfigurieren..114 Gerätesichtbarkeit..115 Berechtigungen Agent-Browser-Tools Zugehörigkeit. 117 Wie viele verschiedene Rollen werden benötigt? Horizontale Rollen Vertikale Rollen.118 7

8 Ressourcenzugriffsrollen Verwaltung mobiler Geräte 120 ANHANG A ANHANG B

9 1. Vorwort Dieses Handbuch enthält grundlegende Informationen und Verfahren, um das Produkt Panda Cloud Systems Management (im Folgenden PCSM genannt) optimal zu nutzen. Zielgruppe Diese Dokumentation ist für technisches Personal geschrieben, das Anwender ohne IT-Kenntnisse in zwei möglichen Umgebungen unterstützt: - Die IT-Abteilung, die den internen Support im Unternehmen professionalisieren will. - Der Managed Service Provider (MSP), der seinen Kunden jederzeit Dienstleistungen vor Ort, aus der Ferne, reaktiv oder proaktiv anbietet. Symbole Dieses Handbuch enthält die folgenden Symbole: Zusätzliche Informationen, z. B. eine alternative Methode für die Ausführung einer speziellen Aufgabe. Vorschläge und Empfehlungen. Wichtige und/oder nützliche Tipps für den Gebrauch von Panda Cloud Systems Management. 9

10 2. Einführung Panda Cloud Systems Management ist eine cloud-basierte Gerätefernüberwachungs- und Verwaltungslösung. Sie ermöglicht einen professionellen Service, ohne die Anwender bei ihrer Arbeit zu stören. Panda Cloud Systems Management erhöht die Produktivität durch eine zentralisierte und unkomplizierte Verwaltung von Geräten und fördert die Aufgabenautomatisierung. Die Betriebskosten werden erheblich reduziert, da PCSM: keine zusätzliche Infrastruktur erfordert, weil die Lösung in der Cloud gehostet wird. eine sehr flache Lernkurve hat. Dadurch können Sie von Anfang an einen erstklassigen Technischen Support liefern. einen Fernsupport ermöglicht. Auf die Tools kann jederzeit und von überall aus zugegriffen werden. Da die Techniker nicht zu den einzelnen Standorten fahren müssen, können Sie Geld und Zeit sparen. durch konfigurierbare Alarmmeldungen automatisierte Aufgaben und Reaktionen auslöst. Störungen können dadurch verhindert werden. Panda Cloud Systems Management ist ein Produkt, das die Zusammenarbeit der Supporttechniker fördert und die Ermittlung der Problemursachen erleichtert. Hauptfunktionen von Panda Cloud Systems Management In der folgenden Tabelle finden Sie die wichtigsten Funktionen des Produktes: Funktion Cloud-basierte Lösung Agenten-basiert Automatische Geräteerkennung Geplante und benutzerdefinierte Audits Verwaltung der Softwarelizenzen Warnmeldungen und Kontrolle Beschreibung Keine zusätzliche Infrastruktur am Standort der Kunden oder MSP/IT-Abteilungen erforderlich. Verwalten Sie all Ihre Geräte jederzeit und von überall aus. Ein sehr schlanker Agent, der eine NAT- Firewall und VPN unterstützt, verbindet jedes Gerät mit dem PCSM-Server. Ein PCSM-Agent, der auf einem einzigen Gerät installiert ist, kann andere Geräte im selben Netzwerk erkennen und eine automatische Installation auslösen. Verfolgen Sie alle Veränderungen am Gerät (Hardware, Software und System). Behalten Sie den Überblick über die gesamte installierte Software. Kontrollieren Sie die CPU-Auslastung, den Speicherplatz und die Exchange Server, Leistungskurven, Warnmeldungen alles in 10

11 Echtzeit. Erstellen Sie Skripte und Quick Jobs Erstellen Sie Ihre eigenen Skripte, laden Sie unsere vorkonfigurierten Skripte aus dem ComStore herunter und installieren Sie diese entweder planmäßig oder als automatische Reaktion auf einen Alarm. Alles mit einem Klick. Patch-Management Automatisieren Sie die Installation von Updates und Patches für Ihre Software. Softwareinstallation Zentralisierte Installation von Updates und Software. Richtlinien Definieren Sie eine Reihe von allgemeinen Einstellungen, um Ihre IT-Umgebung flexibel zu verwalten. Fernzugriff Task-Manager, Dateitransfer, Registry- Editor, Eingabeaufforderung, Ereignisprotokoll, etc. Mit all diesen integrierten Tools können Sie mehrere Geräte reparieren, ohne die Anwender zu stören. Fernsteuerung Gemeinsamer Zugriff auf den Desktop des Anwenders oder totale Kontrolle. Unterstützt Firewalls und NAT. Sichere Kommunikationen Alle Kommunikationen zwischen den Agenten und dem PCSM-Server werden verschlüsselt (SSL). Berichte Senden Sie geplante oder spezielle Berichte per . Finden Sie heraus, wer was und wann tut und wer die meisten Ressourcen nutzt. Kollaborative Umgebung Verwalten Sie die Störfallzuordnung, den Status und die Dokumentation mit dem Ticketsystem. Vereinfachen Sie die Erstellung einer Chronik über die Eingriffe mit Device Notes. Kommunizieren Sie live mit dem Endanwender über den IM Messaging-Dienst. ComStore Erweitern Sie die Fähigkeiten der Plattform. Wählen Sie die benötigten Komponenten aus und laden Sie diese herunter. 11

12 Panda Cloud Systems Management Benutzerprofil Die meisten Nutzer von Panda Cloud Systems Management werden mittlere bis hohe Fachkenntnisse haben, da dieses Tool die tägliche Wartung von Computergeräten aufgrund ständiger Nutzung und Veränderungen vorsieht. Trotzdem gibt es zwei spezielle Zielgruppen von Panda Cloud Systems Management: IT-Techniker auf Unternehmensebene Techniker, die im gesamten Unternehmen Supportdienste für Geräte und Endanwender leisten. Häufig gibt es Büros mit beschränktem Zugang an entfernten Orten und Anwender, die außerhalb ihrer Büros arbeiten. Deshalb müssen die Techniker mit Überwachungstools und Fernzugriff arbeiten. Managed Service Provider (MSP) Techniker Technisches Personal für Unternehmen, die beschlossen haben, ihre IT- Abteilungen auszugliedern oder die Wartung ihrer Geräte als Unterauftrag zu vergeben. Hauptkomponenten von Panda Cloud Systems Management PCSM-Konsole Ein Webportal, auf das über kompatible Browser jederzeit und von überall aus mit jedem webfähigen Gerät zugegriffen werden kann. Die meisten der täglichen Verfolgungs- und Überwachungsaufgaben werden von dieser Konsole aus über einen Browser ausgeführt. Diese Ressource steht nur dem technischen Support zur Verfügung. PCSM-Agent Ein kleines Programm (kleiner als 5 Megabyte), das auf jedem zu verwaltenden Gerät installiert wird. Nach der Installation des PCSM-Agenten kann man direkt auf alle Informationen des Gerätes über die PCSM-Konsole zugreifen. 12

13 Der PCSM-Agent unterstützt zwei Ausführungsmodi: - Anwender- und Überwachungsmodus In diesem gängigen Modus ist der Agent für den Endanwender kaum wahrnehmbar und der Zugriff auf einige spezielle Einstellungen kann vom Administrator delegiert werden. - Administrationsmodus Nach der Eingabe gültiger Anmeldedaten kann der Netzwerkadministrator den PCSM-Agenten für den Zugriff auf entfernte Geräte nutzen. Für die Fernverwaltung installieren Sie den PCSM-Agenten sowohl auf den Kundengeräten als auch auf den Geräten der Techniker. PCSM-Server Die PCSM-Konsole, die notwendigen Prozesse und die unterstützenden Datenbanken werden auf einem cloud-basierten PCSM-Server gehostet und sind rund um die Uhr verfügbar. Die von jedem Gerät zum PCSM-Server übertragenen Statusinformationen sind so optimiert, dass die Auswirkungen auf das Netzwerk des Kunden minimal sind. Diese Informationen werden auf dem PCSM-Server gesammelt, sortiert, zusammengefasst und als Abfolge von Ereignissen dargestellt. So kann man Diagnosen vornehmen und Probleme auf den verwalteten Geräten erfolgreich vorhersehen. 13

14 Hauptakteure von Panda Cloud Systems Management IT-Administrator/Administrator/Managed Service Provider/ MSP/IT-Abteilung/Supporttechniker/Technisches Team Diese Begriffe schließen all diejenigen ein, die Zugriff auf die PCSM-Konsole haben, ungeachtet der Berechtigungsstufe, die mit den gelieferten Anmeldedaten einhergeht. Dies ist zum einen das technische Personal der IT-Abteilung des Unternehmens, das mit Panda Cloud Systems Management die Systeme verwaltet und überwacht, und zum anderen das MSP-Personal, das für die Geräte der Kunden zuständig ist. PCSM-Administrationsaccount/Hauptadministrationsaccount Jeder Kunde bzw. jedes Unternehmen, das Panda Cloud Systems Management benutzt, erhält einen Hauptadministrationsaccount. Ein Account mit der höchsten Berechtigungsstufe, der alle Ressourcen des Produktes verwalten kann. Kapitel 14 beschreibt, wie man neue Anwender und Rollen erstellt, um den Zugriff der Systemtechniker auf die Schlüsselressourcen von Panda Cloud Systems Management zu beschränken. Jeder Hauptadministrationsaccount gehört zu einer sicheren und separaten Produktinstanz. Deshalb sind alle Einstellungen eines PCSM-Kunden und alle verwalteten Geräte für andere Administrationsaccounts nicht zugänglich oder sichtbar. Kundenaccount/Kunde Ein Kundenaccount ist ein Vertrag zwischen dem Managed Service Provider und einem Unternehmen, das die Absicht hat, seinen täglich notwendigen IT-Support auszulagern. Außer in Kapitel 14, das beschreibt, wie man Anwender und Rollen erstellt, hat Account in diesem Handbuch eine organisatorische Bedeutung: Für den MSP ist es gleichbedeutend mit einer Reihe von Geräten, die zum selben Kundennetzwerk gehören, welches gewartet werden soll. 14

15 Anwender Der Anwender ist der Nutzer des Gerätes, das direkten Support vom MSP oder der IT-Abteilung benötigt. Gerät Ein Gerät ist ein für die tägliche Arbeit genutzter Computer, auf dem ein PCSM- Agent installiert ist. 15

16 3. Hierarchie der Level innerhalb der PCSM-Konsole Um die Verwaltung der Geräte verschiedener Kundenaccounts zu trennen und die vom technischen Personal definierten Prozeduren wiederzunutzen und zu beschränken, und um die Verwaltung zu beschleunigen und weiterzuentwickeln, bietet Panda Cloud Systems Management drei Instanzen/Gruppenlevel/Betriebslevel: Vom ganz allgemeinen zum speziellsten sind es die folgenden: 1. Systemlevel 2. Profillevel 3. Gerätelevel Systemlevel Was ist das? Das Systemlevel, auch Account oder Account Level Entity Cluster genannt, ist das allgemeinste und höchste Level. Es ist außerdem einzigartig für jeden MSP/jede IT-Abteilung. Das Systemlevel gruppiert automatisch alle mit einem PCSM- Agenten versehenen Geräte der Kunden und Anwender, die vom MSP/der IT- Abteilung verwaltet werden. 16

17 Anwendungsbereich Die auf diesem Level ausgeführten Aktionen betreffen alle im System registrierten Geräte, obwohl sie durch Nutzung von Filtern und Gruppen auf eine Untergruppe von Geräten beschränkt werden können. Näheres dazu finden Sie in Kapitel 5. Zugriff Auf die Systemlevel-Ressourcen wird über das Allgemeine Menü, System, zugegriffen. Funktionsweise Das Systemlevel kann globale Aktionen ausführen. Deshalb können Sie den Status aller verwalteten Geräte, konsolidierte Reports zu Ihrer Umgebung und den Aktionen auf allen oder einem Teil der registrierten Geräte erhalten. Profillevel Was ist das? Das Profillevel ist eine Gruppierungseinheit direkt unter System. Es ist eine logische Gruppierung, welche die zum selben Kundenaccount oder Büro gehörenden Geräte enthält. Auf die Liste Profile kann über das Allgemeine Menü, Profile, zugegriffen werden. Jedem Profil ist eine Reihe von Konfigurationen zugeordnet, auf die über die Tableiste, Einstellungen, in der PCSM-Konsole zugegriffen werden kann. Diese Einstellungen werden dann auf die entsprechenden PCSM-Agenten angewendet. 17

18 Konfigurationsoptionen können in verschiedene Gruppen eingeteilt werden. Profilerkennung Informationen, die benutzt werden, um ein Profil von den anderen erstellten Profilen zu unterscheiden, und die in Filtern oder Suchen genutzt werden können. Die konfigurierbaren Felder sind: - Allgemein: Profilname und Beschreibung - Variablen: Umgebungsvariablen, welche die zum Profil gehörenden Geräte übernehmen, und die später von Skripten oder Komponenten, die vom Administrator entwickelt wurden, aufgerufen werden können. - Benutzerdefinierte Label: fünf Felder mit vom Administrator definierten Informationen Kontaktinformationen Dies sind die -Accounts, die von Panda Cloud Systems Management benutzt werden, um den Serviceadministrator zu kontaktieren. Sie werden im Allgemeinen genutzt, um Reports oder Warnmeldungen zu senden. - Mailempfänger Lokaler Cache Dieses Feld wird zur Erkennung des Caches im LAN eines Kunden benutzt, um Software-, Patch- oder Skriptdownloads zu beschleunigen, welche dann auf den benachbarten Geräten installiert werden. Diese Methode reduziert den Bandbreitenverbrauch, indem sie verhindert, dass mehrere Geräte desselben Netzwerks auf das Internet zugreifen müssen, um die Downloads individuell durchzuführen. 18

19 Login-Daten Skripte werden auf dem Gerät des Anwenders mit der Berechtigung Lokales System ausgeführt, aber wenn das Profil Skripte mit dem Befehl Run As ausführen muss (z. B. für Administratorberechtigungen), kann man die Login-Daten und das Passwort hier eingeben. Informationen zum Verbrauch Informationen zum Energieverbrauch können jedem Gerät zugeordnet werden, sodass der PCSM-Server den Gesamtverbrauch berechnen kann. Auf Grundlage dieser Informationen können dann bei Bedarf System- oder Profilrichtlinien definiert werden. Diese Richtlinien werden später erklärt. Zusätzlich zu den oben genannten Informationen werden dem Profil entsprechende Informationen generiert und im PCSM-Agenten eingebettet. Die Kundengeräte werden nach der Installation des PCSM-Agenten automatisch dem richtigen Profil in der PCSM-Konsole hinzugefügt. Anwendungsbereich Die Arbeitsabläufe, die auf dem Profillevel ausgelöst werden, können alle zu diesem Profil gehörenden Geräte betreffen, während einige Aktionen durch die Nutzung von Filtern und Gruppen (in Kapitel 5 beschrieben) auf eine Untergruppe von Geräten beschränkt werden können. Im Gegensatz zum Systemlevel, das einzigartig ist, kann der Administrator so viele Profilgruppen erstellen wie nötig. Zugehörigkeit Die Zugehörigkeit eines bestimmten Gerätes zu einem Profil wird beim Installieren des PCSM-Agenten festgelegt. 19

20 Laden Sie den PCSM-Agenten von der ausgewählten Profilseite herunter, sodass er nach der Installation auf dem Gerät des Anwenders automatisch dem betreffenden Profil in der PCSM-Konsole hinzugefügt wird. Nachdem Sie den PCSM-Agenten auf dem Gerät des Anwenders installiert haben, können Sie von der PCSM-Konsole aus Geräte von einem Profil zum anderen verschieben. Um die Aufgaben während der Installationsphase zu minimieren, ist es empfehlenswert, zuerst ein Profil zu erstellen und anschließend den PCSM-Agenten darüber herunterzuladen. Dann gehören die verwalteten Geräte automatisch zum erstellten Profil. Funktionsweise Im Profillevel können Aktionen auf allen Geräten ausgeführt werden. Auf diese Weise können Sie den Status der Geräte, konsolidierte Reports und Aufgaben, die auf allen oder einigen Geräten ausgeführt werden sollen, erhalten. Gerätelevel Was ist das? Dies stellt einzelne Knotenpunkte, Endpoints bzw. Geräte mit installiertem PCSM-Agenten dar, der die Verbindung zum PCSM-Server etabliert und aufrechterhält. Geräte werden automatisch in der PCSM-Konsole angelegt, da sie beim Installieren der Agenten auf den Geräten des Kunden dem Account/Profil hinzugefügt werden. Anwendungsbereich Alle auf diesem Level ausgeführten Aktionen betreffen nur das ausgewählte Gerät. Funktionsweise Im Gerätelevel können Aktionen auf einem bestimmten Gerät ausgeführt werden. Dies ermöglicht, dass man Listen mit ausführlichen Informationen über das Gerät, Berichte und Aktionen erhält. 20

21 4. Basiskomponenten der PCSM-Konsole Die PCSM-Konsole ist auf intuitive und visuelle Art und Weise strukturiert, sodass die meisten Verwaltungsressourcen nur einen Klick entfernt sind und ein Durcheinander an unnötigen Kontrollkästchen und Einstellungen vermieden wird. Das Ziel ist eine PCSM-Konsole, die einfach, schnell und bequem zu nutzen ist, während das Neuladen der gesamten Seite möglichst vermieden wird. Der Umgang mit der PCSM-Konsole kann schnell erlernt werden. Die Basiskomponenten der PCSM-Konsole, auf die wir uns in diesem Handbuch beziehen werden, sind: Allgemeines Menü Auf dieses Menü kann von überall in der PCSM-Konsole zugegriffen werden. Es besteht aus 6 Einträgen: Elemente: Menü System Profile Komponenten ComStore Geplante Aufgaben Geplante Reports Hilfecenter Konto Beschreibung Zugriff auf das Systemlevel Zugriff auf das Profillevel Zugriff auf Komponenten, die der Administrator heruntergeladen hat Sammlung von Komponenten, die von Panda Security kreiert wurden, um die Funktionalität von PCSM zu erweitern Liste der aktiven und fertiggestellten Aufgaben Liste der konfigurierten und voreingestellten Reports Hilfecenter mit Links zu Panda Security Ressourcen Zugriff auf die Details des Hauptadministrationsaccounts und auf die Ressourcen zum Erstellen neuer Rollen und User. Weitere Informationen finden Sie in Kapitel

22 Tableiste/Listenleiste Die Tableiste und auch die Listenleiste bieten Zugriff auf die in der PCSM-Konsole verfügbaren Tools. Mit diesen Tools kann man Übersichten mit ausführlichen Informationen über den Status der Geräte des jeweiligen Levels erstellen. So ist es möglich, Konfigurationen festzulegen und anzusehen. Diese Leiste sieht etwas anders aus, wenn man auf sie über das Profillevel, Systemlevel oder Gerätelevel zugreift, da jeder Verwaltungsbereich anders ist. Komponenten: Tab Zugreifbar von Beschreibung Übersicht Profil, Gerät Statusinformationen Dashboard System Allgemeine Systemsteuerung Geräte Profil Liste der zugänglichen Geräte mit dazugehörigen Informationen Audit System, Profil, Gerät Audit-Liste für Hardware, Software und Lizenzen Verwalten System, Profil, Liste der Patches ausstehende und Überwachungsprogramm Gerät System, Profil, Gerät angewandte Liste der Warnmeldungen von den Überwachungsprogrammen erstellt oder erledigte Aufgaben Support System, Profil, Liste der erstellten Tickets Gerät Report System, Profil, Gerät Liste und Erstellung von Reports nach Bedarf Richtlinien System, Profil, Gerät Liste und Erstellung von Richtlinien (später beschrieben) Einstellungen Profil Konfiguration - zum Profil zugehörig Gesperrte Geräte System Liste der nicht installierten Geräte 22

23 Der Anwendungsbereich der Tableiste bezieht sich auf das jeweilige Level. Folglich wird sie Ihnen Informationen über alle Geräte anzeigen, wenn Sie im Systemlevel auf die Tableiste zugreifen. Wenn Sie im Profillevel zugreifen, zeigt sie Informationen zu den Geräten im Profil. Wenn Sie im Gerätelevel zugreifen, werden nur Informationen für das jeweilige Gerät gezeigt. Symbolleiste/Aktionsleiste Die Symbolleiste oder Aktionsleiste greift auf Aktionen zu, um den Status der Geräte zu ändern. Diese Leiste gibt es nicht im Allgemeinen Menü, System und variiert leicht, wenn auf sie vom Allgemeinen Menü, Profil oder einem bestimmten Gerät aus zugegriffen wird, da der Verwaltungsbereich unterschiedlich ist. Der Anwendungsbereich der Symbolleiste wird gebildet, indem man manuell die Geräte auswählt, die einem Profil zugeordnet wurden. Elemente: Symbol Zugreifbar von Beschreibung Gerät verschieben zu Profil, Gerät Verschieben eines oder der ausgewählten Geräte zu einem anderen Profil Gerät hinzufügen zu Profil, Gerät Verschieben eines oder der ausgewählten Geräte zu einer Gruppe Bearbeiten Profil Hinzufügen von Notizen und benutzerdefinierten Feldern zu den ausgewählten Geräten, die von Filtern benutzt werden können Hin- und Herschalten Profil Geräte als Favoriten markieren für Schnellzugriff von Zusammenfassung/Dashboard Löschen Profil, Gerät Ein Gerät aus einem Profil löschen. Das Gerät wird nicht länger verwaltet, der PCSM-Agent wird 23

24 deinstalliert und das Gerät wird dem Tab Gesperrte Geräte im Allgemeinen Menü, System hinzugefügt. Audit anfordern Profil, Gerät Erzwingt die Ausführung eines Audits (Das Audit ist ein automatischer Job, der alle 24 h ausgeführt wird) Geplanter Job Profil, Gerät Einen Job für einen späteren Zeitpunkt planen Einen Sofort-Job ausführen Profil, Gerät Erstellen und Ausführen eines Sofort-Jobs Download Profil Download der Geräteliste im Profil Hinzufügen/Entfernen Profil, Gerät Das Gerät als Netzwerkcache des Cache markieren. Privatsphäre einschalten Profil, Gerät Verhindert Fernzugriff des Administrators auf die Geräte, es sei denn, der Anwender genehmigt es Eine Nachricht senden Profil, Gerät Senden einer Nachricht an ein ausgewähltes Gerät Reports planen Profil Reports für einen späteren Zeitpunkt planen Aktualisieren Profil, Gerät Daten auf dem Bildschirm aktualisieren Auslösen Gerät Installation des Agenten von einem ausgewählten Gerät auf andere Geräte im selben Netzwerk auslösen QR-Code Gerät QR-Code zum Ausdrucken und Aufkleben auf ein Gerät für Inventarisierungszwecke Wenn Sie Aktionen auf dem Systemlevel ausführen wollen, müssen Sie einen Filter oder eine Gruppe erstellen, da das Systemlevel die Symbolleiste standardmäßig nicht anzeigt. Filter und Gruppenpanel Die linke Seite der PCSM-Konsole enthält drei Panels mit verschiedenen Gruppen: Standardfilter: vom System automatisch erzeugte Filter 24

25 Profilfilter/Systemfilter: Gerätefilter, die vom Administrator entweder im Profillevel oder Systemlevel erzeugt werden Profilgerätegruppen/Systemgerätegruppen: Gerätegruppen, die vom Administrator entweder im Profillevel oder Systemlevel erstellt werden Systemprofilgruppen: nur im Systemlevel verfügbar, dies sind Gruppen verschiedener Profile Dashboards Die Dashboards spiegeln den Status einer Reihe von Geräten wider. Es gibt vier Arten von Dashboards: Sicherheitsstatus Darauf kann vom Allgemeinen Menü, System aus zugegriffen werden. Zeigt den Sicherheitsstatus aller verwalteten Geräte. 25

26 Systemdashboard Zugriff über Allgemeines Menü, System, indem man auf Systemdashboard klickt. Es sammelt allgemeine Informationen über den Status aller Geräte: Benachrichtigungen, Jobs, Warnmeldungen, etc. 26

27 27

28 Zusammenfassung (Profil) Zugriff über Allgemeines Menü, Profil. Es zeigt den Status aller Geräte, die zum ausgewählten Profil gehören. Es gibt ein Dashboard Zusammenfassung für jedes erstellte Profil. Zusammenfassung (Gerät) Zugriff über ein Gerät. Es zeigt den Status eines bestimmten Gerätes. Es gibt eine Zusammenfassung für jedes verwaltete Gerät. 28

29 5. Filter und Gruppen Was sind Gruppen und Filter? Gruppen und Filter sind Ressourcen für das Erstellen von Geräteclustern ähnlich wie beim Profil, aber einfacher und dynamischer. Während das Erstellen eines Profils als statischer Aspekt des Markierens von Geräten eines bestimmten Kundenkontos angesehen wird, sind Gruppen und Filter entwickelt worden, um sie leicht als Reaktion auf temporäre Besonderheiten oder Kriterien modifizieren zu können. Arten von Gruppen und Filtern Es gibt verschiedene Arten von Gruppen/Filtern: - Profilgerätegruppen/Profilfilter: innerhalb eines speziellen Profils erstellt, können sie nur Geräte enthalten, die zum ausgewählten Profil gehören. - Systemgerätegruppen/Systemfilter: im Systemlevel erstellt, können sie Geräte enthalten, die zu einem, verschiedenen oder allen Profilen gehören. - Systemprofilgruppen: im Systemlevel erstellt, sind sie Gruppen von Profilen. Filter und Gruppen können profilübergreifende Gerätegruppen sein; je nachdem, wo sie erstellt wurden, können sie Geräte aus einem oder verschiedenen Profilen enthalten. Gruppen Gruppen sind Gruppen statischer Geräte. Ein Gerät wird durch direkte Zuordnung manuell einer Gruppe zugewiesen. Filter Filter sind dynamische Gruppen von Geräten. Ein Gerät wird automatisch und indirekt einem Filter zugewiesen, je nach den Bedingungen für die Zugehörigkeitseinstellungen. Es kann eine oder verschiedenen Bedingungen für die Zugehörigkeit zu einem Filter geben. Die Bedingungen sind durch logische Operatoren verknüpft (UND/ODER). 29

30 Im Folgenden finden Sie die Schritte zum Einrichten eines Filters. Geben Sie dem Filter einen Namen. Der Name sollte beschreibend sein und die gemeinsamen Eigenschaften der gruppierten Geräte nennen (z. B. Microsoft Exchange Server, Workstations mit wenig Speicherplatz ) Wenn es mehrere Bedingungen gibt, bestimmen Sie die logische Verknüpfung, die angewandt werden soll: o Beliebig: jedes Gerät, das mindestens eine Bedingung erfüllt wird in den Filter miteinbezogen o Alle: nur Geräte, die alle Bedingungen erfüllen, werden in den Filter miteinbezogen Kriterien: jede Bedingungszeile besteht aus mehreren Feldern, die sie je nach Typ beschreiben: o Feld: das Hauptfeld bestimmt, welche Gerätefunktion für die Einbeziehung in den Filter genutzt wird. Die wichtigsten Kriterienfelder sind unten aufgelistet und klassifiziert. o Bedingung: definiert die Bedingungen, zu denen die gewählten Kriterien ins Verhältnis gesetzt werden. o Suchbegriff: beschreibt den Inhalt des Feldes. Je nach Art der Bedingung, zeigt das Feld Suchbegriff die Veränderungen, die an den Datumsbereichen, Abschnitten, etc. vorgenommen wurden. 30

31 Im Folgenden finden Sie die verfügbaren Werte für jede Kriteriumsbedingungszeile: Feld Bedingung Suchbegriff String Leer Nicht leer String. Benutze % als Platzhalter. Enthält Enthält nicht Beginnt mit Beginnt nicht mit Endet mit Endet nicht mit Ganzzahl Binär Datum Größer Größer als oder gleich Kleiner Kleiner als oder gleich Schließt ein Schließt aus Wahr/Falsch Vor Nach Älter als 30/60/90 Tage Numerisch. Datumsintervall Fügen Sie weitere Kriterienartenzeilen mit den Symbolen + und - auf der rechten Seite hinzu. Wählen Sie den Anwendungsbereich des Filters: o Alle Geräte in allen Profilen o Nur Geräte in den ausgewählten Profilen Wählen Sie die Nutzer der PCSM-Konsole aus, die auf den Filter zugreifen können Die Eigenschaften, die im Feld beschrieben sind, können wie folgt gruppiert werden, gemäß der Gerätefunktionsbeschreibung: Gerätestatus Geräterolle Status Online/Offline Status gesperrt Antivirus An/Aus Firewall An/Aus Freie Festplattenkapazität Gerät an oder aus Geräte gesperrt Erkennt Geräte mit wenig Speicherplatz Windows-Updates An/Aus Unterscheidet Geräte nach ihrer Hauptfunktion 31

32 Softwareversion Hardware Geräte ID Anderer Status Gerätetyp: Server, Workstation, Smartphone, Laptop Betriebssystem Architektur Unterscheidet zwischen Server- oder Client- Betriebssystem 32-bit oder 64-bit Service Pack Service Pack Version Softwarepaket Installierte Software Softwareversion Informationen zu Hersteller, Modell, Version, etc. CPU BIOS Name/Release/Version Grafikkarte Hersteller Speicher Modell Monitor Motherboard Netzwerkkarte Informationen, die das Gerät identifizieren und beschreiben Beschreibung Kurzbeschreibung Profilbeschreibung Profilname Domain IP-Adresse MAC-Adresse Seriennummer Die Seriennummer des Gerätes Hostname Vom Betriebssystem zugewiesener Name Favorit Zuletzt gesehen Letztes Audit Letzter Benutzer Verknüpfung vom Dashboard 32

33 6. WIE MAN VERWALTETE GERÄTE EFFIZIENT GRUPPIERT Die Verteilung in der PCSM-Konsole der verwalteten Geräte in einer MSP mit mehreren Kundenaccounts oder in einer IT-Abteilung mit verschiedenen Büros beeinträchtigt die Effizienz drastisch, da viele Prozeduren und Aktionen konfiguriert werden können, damit sie auf vielen Geräten laufen. Dies kann durch die richtige Kombination von Profilen, Gruppen und Filtern entschärft werden. Unterschiede zwischen Profilen, Gruppen und Filtern Es folgt eine Beschreibung der Vorteile und Einschränkungen der drei unterstützten Gruppierungsmethoden. Profile Vorteile: - Sie ordnen allen Geräten dieselben Einstellungen für die Internetverbindung zu: Das verhindert, dass jedes Gerät lokal von Hand konfiguriert werden muss. - Sie verknüpfen -Kontaktinformationen zum Senden von Berichten, Warnmeldungen, Tickets, etc. - Sie können auf die Tableiste und die Symbolleiste zugreifen und die Ausführung von Aktionen erlauben sowie Listen und konsolidierte Berichte zu allen Geräten im Profil zweckmäßig und schnell anzeigen. Einschränkungen: - Ein Gerät kann nur zu einem Profil gehören. - Es ist nicht möglich ein Profil in einem (anderen) Profil zu verschachteln. Filter und Gruppen Vorteile: - Gruppen/Filter ermöglichen es Ihnen, Untergruppen von Geräten innerhalb eines oder mehrerer Profile zu erstellen. - Ein Gerät kann zu verschiedenen Gruppen/Filtern gehören. Einschränkungen: - Gruppen/Filter haben eine begrenzte Funktionalität, da nicht auf die Tableiste zugegriffen werden kann und deshalb keine konsolidierten Listen erzeugt werden können. - Der Zugriff auf Reports ist eingeschränkt; die erstellten Reports werden nur Informationen über ein Gerät enthalten. 33

34 Gruppen/Filter sind Profile innerhalb von Profilen (so viele wie Sie wollen), aber sie haben beschränkten Zugriff auf konsolidierte Reports und die Tableiste. Allgemeine Herangehensweise und Geräteverwaltungsstruktur Die folgenden allgemeinen Regeln werden angewandt: Gruppieren Sie Geräte in Profilen, um die Geräte von verschiedenen Kundenkonten zu trennen Profile beschränken die Erstellung von Konsolidierten Reports oder Listen nicht und erlauben, dass die Einstellungen für alle zu einem Profil gehörenden Geräte gelten. Erstellen Sie Profilgerätegruppen, um Geräte nach Hardware/ Software/Konfiguration/Gebrauch zu gruppieren Konfigurieren Sie z. B. Profilgerätegruppen, um Geräte nach Abteilungen innerhalb eines Kundenkontos mit ähnlichen Eigenschaften (installierte Software, allgemeine Anforderungen, Druckerzugriff, etc.) oder nach Rollen (Server/Workstations) zu trennen. Erstellen Sie Profilfilter, um Computer mit einem gemeinsamen Status innerhalb eines Profils zu finden Benutzen Sie Filter, um schnell, automatisch und proaktiv ungewöhnliche Umstände zu finden, die nicht in festgelegte Grenzbereiche fallen (zu geringer Speicherplatz, zu wenig physikalischer Speicher installiert, unerlaubte Software, etc.) oder um Geräte mit speziellen Eigenschaften zu finden. Es ist nicht ratsam, Filter für Gruppen mit statischem Charakter zu nutzen. Erstellen Sie Systemprofilgruppen, um Profile zu gruppieren Wenn es Kundenkonten oder Büros mit sehr ähnlichen Eigenschaften und einer Vielzahl von Geräten gibt, können Sie diese in derselben Systemprofilgruppe zusammenfassen, um die Verwaltung zu erleichtern. 34

35 Verknüpfen Sie Kontogruppen und Filter mit technischen Profilen Wenn ein MSP oder ein Unternehmen mittelgroß bis groß ist, werden sich die Techniker auf bestimmte Aufgaben spezialisieren. So wird es Techniker geben, die nur bestimmte Gerätetypen verwalten, wie z. B. Exchange Server oder Windows XP Workstations. Eine Systemgruppe oder ein Filter helfen, diese Geräte zu lokalisieren und zu gruppieren, ohne dafür Profil für Profil durchgehen zu müssen. Um das Szenario zu vervollständigen, ist es empfehlenswert, Rollen und neue Benutzerkonten zu erstellen und zu konfigurieren, wie in Kapitel 14 beschrieben. 35

36 7. Die ersten 8 Schritte zur Benutzung von PCSM Das erste Profil erstellen und konfigurieren Zuerst müssen Sie festlegen, ob Sie ein neues Profil erstellen wollen oder eins wiederverwenden möchten, das bereits genutzt wird. Das hängt von den Verwaltungskriterien ab, die Sie verwenden. Ein neues Kundenkonto wird im Allgemeinen einem neuen Profil gleichkommen. Tragen Sie die Informationen entsprechend ein. Beachten Sie, dass das Textfeld von den Filtern, die Sie hinzufügen, benutzt werden kann, und dass sie sich auf den Inhalt dieses Feldes beziehen. Wenn das Gerät im Profil für den Internetzugriff zusätzliche Informationen über den HTTP-Proxy benötigt, können diese Informationen hier bereitgestellt oder später hinzugefügt werden. 36

37 Es ist ratsam, das Profil nach der Erstellung über den Tab Einstellungen zu konfigurieren. Diese Konfiguration wird in den auf jedem verwalteten Gerät installierten PCSM-Agenten integriert. Den PCSM-Agenten installieren Der auf den Kundengeräten installierte PCSM-Agent benötigt bestimmte Basisinformationen, um zu funktionieren: - Das Profil, zu dem er gehören wird - Die Mindestinformation, die er benötigt, um auf das Internet zuzugreifen und eine Verbindung zum PCSM-Server herzustellen Das Profil, zu dem der PCSM-Agent gehört, wird automatisch festgelegt, wenn Sie beginnen, vom Profil herunterzuladen oder zu senden. 37

38 Die Internetverbindungsdaten wurden im vorherigen Schritt beim Erstellen des Profils oder in der Tableiste, Einstellungen eingegeben, sodass der heruntergeladene PCSM-Agent diese Informationen bereits enthält. Der PCSM-Agent kann auf zwei Arten heruntergeladen werden. - Senden des heruntergeladenen PCSM-Agenten ( , installieren mit Active Directory, etc.) - Einen direkten Link per an den Agenten schicken Den PCSM-Agenten in großen Netzwerken zu installieren und bereitzustellen, kann zeitaufwändig und mühsam sein, wenn Sie ihn jedem einzelnen Gerät separat schicken müssen. Die einfachste Art für eine Masseninstallation ist: - Senden Sie den PCSM-Agenten an das erste Gerät im Netzwerk Um den PCSM-Agenten zu installieren, müssen Sie normalerweise nur auf das heruntergeladene Package doppelklicken. Die Installation wird ohne Bestätigungen still abgeschlossen. Wenn der PCSM-Agent installiert ist, wird er sich mit dem PCSM- Server verbinden und in der Liste der verwalteten Geräte im ausgewählten Profil erscheinen. - Autoinstallation auf anderen Netzwerkgeräten Durch Auswählen des Gerätes, auf dem der PCSM-Agent zuerst installiert wurde, können Sie die Masseninstallation im restlichen Netzwerksegment starten. 38

39 Überprüfung der Geräteliste im Profil und Basisfilterung Sie können die Geräte für einen schnelleren Zugriff favorisieren, Listen aufstellen, diese schnell je nach Rolle des Gerätes filtern und ihre Größe verändern, um mehr oder weniger Positionen anzuzeigen. Hardware-, Software- und Lizenzprüfung Die Tableiste, Audit, enthält alle Auditdetails der zum Profil gehörenden Geräte. Wenn auf sie im Gerätelevel zugegriffen wird, werden ausführliche Informationen über das Gerät angezeigt. 39

40 Patch-Management In der Tableiste, Verwalten können Sie noch nicht installierte Patches genehmigen. Erstellen Sie im Profil über die Tableiste, Richtlinien, eine Richtlinie für Windows Updates oder das Patch-Management. Mit diesen Richtlinien können Sie die Anwendung von Patches und andere Parameter konfigurieren. Weitere Informationen zum Patch- Management finden Sie in Kapitel 13. In Kapitel 8 finden Sie weitere Angaben zum Erstellen von Richtlinien. 40

41 Überwachungsprogramme erstellen Installieren Sie Überwachungsmechanismen auf Netzwerkgeräten. Im Allgemeinen Menü, System, oder in einem bestimmten Profil in der Tableiste, Richtlinien, klicken Sie auf System/Profilrichtlinie hinzufügen. In Typ wählen Sie Überwachen. Fügen Sie ein Ziel (eine oder verschiedene Gruppen oder Filter) und ein Überwachungsprogramm hinzu. Beim Hinzufügen eines Überwachungsprogramms erscheint ein Assistent mit 4 Schritten, mit dem Sie die notwendigen Einstellungen konfigurieren können. 41

42 Weitere Informationen zu Überwachungsprogrammen finden Sie in Kapitel 9. ComStore Erweitern Sie die Funktionalität von PCSM und installieren Sie zentral Software von Drittanbietern mit den im ComStore veröffentlichten Komponenten. Die Komponenten, die direkt vom Partner/IT-Manager genutzt werden, müssen aus dem ComStore heruntergeladen werden. Meine Komponenten zeigt die Komponenten, die bereits heruntergeladen wurden und zur Nutzung bereitstehen. 42

43 ComStore zeigt die Komponenten, die aus dem ComStore heruntergeladen werden können. Um eine Komponente herunterzuladen, wählen Sie eine aus und klicken Sie auf Kaufen. Sie wird sofort zu Meine Komponenten hinzugefügt. Alle Komponenten im ComStore sind kostenfrei. Je nach Typ kann die Komponente als Job ausgeführt werden oder als Reaktion auf einen vom Überwachungsprogramm erzeugten Warnhinweis. In der Tableiste, Geräte im Profil, wählen Sie die Geräte aus, für welche die Komponenten übernommen werden sollen und wählen Sie zwischen Einen Job planen oder Einen Sofort-Job ausführen. Zugriff auf fernverwaltete Geräteressourcen Obwohl viele tägliche Arbeiten direkt von der PCSM-Konsole aus durchgeführt werden können, kann es erforderlich sein, direkt auf ein Gerät mittels des PCSM- Agenten zuzugreifen. Dazu muss der Agent auf den Geräten der Techniker installiert sein, sodass sie Fernsupport bieten und sich mit ihrem Benutzernamen und Passwort einloggen können. 43

44 Wenn Sie eingeloggt sind, lokalisieren Sie das zu verwaltende Gerät, indem Sie seinen Namen benutzen. Erweitern Sie dazu die Profile, auf die der Techniker zugreifen kann, entweder mit den gelieferten Anmeldedaten oder durch Auflisten der als Favoriten markierten Geräte. Nach dem Lokalisieren des Gerätes kann auf alle Fernzugriffs- und Fernsteuerungsoptionen sowohl über die Symbole als auch über die Menüs zugegriffen werden. 44

45 Die Optionen, die den Anwender nicht an der Arbeit im System hindern sind: - Remote Screen Capture: schneller Überblick über Fehlermeldungen - Windows Services Tab: Fernzugriff zum Stoppen, Starten und Neustarten von Services, ohne auf den entfernten Desktop zugreifen zu müssen - Sitzung mit Bildschirmfreigabe: Bildschirmfreigabe. Der Anwender sieht, was der Techniker auf dem Gerät macht. - Command Shell: entfernte DOS-Befehlszeile - Agenteninstallation: den PCSM-Agenten im gesamten LAN installieren - Taskmanager: Fernzugriff auf den Taskmanager, ohne auf den entfernten Desktop zugreifen zu müssen - Dateitransfer: Dateien senden und empfangen - Registry-Editor: Fernzugriff auf das Regedit-Tool, ohne auf den entfernten Desktop zugreifen zu müssen - Sofort-Jobs: Jobs starten - Ereignisanzeige: Fernzugriff auf die Ereignisanzeige, ohne auf den entfernten Desktop zugreifen zu müssen - Aufwecken: erlaubt einem eingeschalteten Gerät, den restlichen Geräten im selben LAN-Segment ein magisches Paket zu schicken, um sie aus der Ferne einzuschalten. Die Optionen, die den Anwender an der Nutzung des Gerätes hindern, sind: - Windows RDP: Fernzugriff auf den Desktop via RDP, was die Sitzung des Anwenders beenden wird - Herunterfahren/Neustart: Herunterfahren oder Neustart des Zielgerätes 45

46 8. Richtlinien Was sind Richtlinien? Jede spezielle Konfiguration oder Aktion, die im Laufe der Zeit in regelmäßigen Abständen auf einem oder verschiedenen durch PCSM verwalteten Geräten wiederholt wird. Die Anwendung erfolgt durch das Ausgeben einer Richtlinie an jeden installierten PCSM-Agenten. Richtlinien sind Konfigurationscontainer, bestehend aus: Zielen: Gerätegruppen, für welche die Richtlinie gelten soll Services: je nach Art der Richtlinie wird der PCSM-Agent eine bestimmte Reihe von Aktionen auf jedem Gerät ausführen Richtlinien können auf drei verfügbaren Levels erstellt werden, je nach der Anzahl der Geräte und davon abhängig, ob sie zum selben oder zu verschiedenen Kunden gehören: Systemrichtlinie: Definieren einer Aktion für die Systemprofilgruppen, Systemfilter oder Systemgerätegruppen Profilrichtlinie: Definieren einer Aktion für die Profilgruppen oder Profilfilter Geräterichtlinie: Definieren einer Aktion für ein bestimmtes Gerät Wie man eine Systemrichtlinie festlegt Im Allgemeinen Menü, System, durch Klicken auf die Tableiste, Richtlinien. Ein Fenster erscheint, in dem Sie den Namen der Richtlinie eintragen können und ob der Typ auf einer bereits erstellten Richtlinie basiert, um das Erstellen zu erleichtern. 46

47 Das nächste Fenster fragt die Daten ab, die benötigt werden, um die Richtlinie zu konfigurieren. Je nach der Art der Richtlinie, die Sie in diesem Fenster auswählen, wird nach dem einen oder anderen Datentyp gefragt. In diesem Fall haben wir eine Agentenrichtlinie erstellt und deshalb werden im Abschnitt Agent Richtlinienoptionen die Konfigurationsdaten abgefragt, die Einfluss darauf haben werden, wie der PCSM-Server und der Anwender mit dem auf den Netzwerkgeräten installierten PCSM-Agenten interagieren werden. Alle Arten von Richtlinien erfordern die Konfiguration des Ziels, das eine definierte Gruppe oder ein definierter Filter sein wird. Da dies eine im Systemlevel erstellte Richtlinie ist, werden nur vorher erstellte Systemgerätegruppen, Systemfilter und Systemprofilgruppen angezeigt. 47

48 Wie man eine Profilrichtlinie festlegt Im Allgemeinen Menü, Profile, wählen Sie ein bestimmtes Profil, dann klicken Sie in der Tableiste auf Richtlinien. Die restlichen Schritte sind dieselben wie beim Erstellen einer Systemrichtlinie. Da dies eine im Profillevel erstellte Richtlinie ist, werden nur vorher erstellte Profilgerätegruppen und Profilfilter angezeigt. Um eine Richtlinie im zugehörigen Profil zu deaktivieren, klicken Sie auf Ein/Aus unter Für dieses Profil aktiviert. Wie man eine Geräterichtlinie festlegt Im Profilmenü wählen Sie erst ein bestimmtes Profil aus und dann ein Gerät in der Tableiste, Überwachung, und dann wählen Sie Überwachungsprogramme. 48

49 Die restlichen Schritte sind dieselben wie beim Erstellen einer System- oder Profilrichtlinie. Da es eine Geräterichtlinie ist, erscheint die Option Ziel wählen nicht: Die Richtlinie gilt nur für das ausgewählte Gerät. Die Schaltfläche Überwachung sperren deaktiviert alle aktiven Überwachungsprogramme auf diesem Gerät; das Gerät erscheint in der PCSM-Konsole als Gesperrt. Systemrichtlinien und Profilrichtlinien werden in der Tableiste, Richtlinien, definiert, aber Geräterichtlinien werden in der Tableiste, Überwachung, festgelegt. Arten von Richtlinien Es gibt 5 Arten von Richtlinien: Agent Diese Art der Richtlinien bestimmt das Erscheinungsbild des PCSM-Agenten und die Funktionalität, die dem Anwender und dem PCSM-Server gezeigt werden. 49

50 - Nur Installieren: Versteckt das Tray-Symbol, sodass der Anwender nicht auf die Konfigurationsfenster zugreifen kann. - Aktiver Modus Privatsphäre: Eine Fernverbindung zum Desktop des Anwenders erfordert dessen ausdrückliche Zustimmung. - Einstellungen deaktiviert: Der Anwender kann nicht auf das Kontextmenü des PCSM-Agenten zugreifen. - Audits deaktiviert: Die ausgewählten Geräte senden keine Hardware-/ Software-Auditdaten. - Eingehende Jobs deaktiviert: Jobs werden nicht an den PCSM-Agenten gesendet. - Ankommender Support deaktiviert: Zugriff des Administrators auf den PCSM-Agenten nicht möglich. - Agent-Browser-Modus: Der Ausführungsmodus des PCSM-Agenten kann bestimmt werden. o Deaktiviert o Anwender: Der PCSM-Agent zeigt das Support-Fenster nicht an und dadurch ist der Zugriff im Administrator-Modus nicht möglich. o Administrator: vollständige Ausführung des PCSM-Agenten Überwachung Mit dieser Richtlinie können Sie Überwachungsprozesse für Geräteressourcen hinzufügen. Patch-Management Patch-Management ist eine der in Panda Cloud Systems Management verfügbaren Methoden zum Herunterladen und Installieren von Softwarepatches. 50

51 Energie Diese Richtlinie ermöglicht die Konfiguration der Energiespareinstellungen auf den Geräten. Windows Update Windows Update ist eine Umsetzung der verfügbaren Optionen auf einem WSUS- Server und ermöglicht die Konfiguration der gebräuchlichsten Patch-Management- Optionen für Microsoftsystems. 51

52 Wie man eine Richtlinie anwendet Nach dem Erstellen einer Richtlinie wird auf dem Bildschirm Richtlinien eine Zeile hinzugefügt. Um die Richtlinie anzuwenden, klicken Sie auf Änderungen ausführen. Die Anwendung der Richtlinie erfolgt auf allen betroffenen Geräten. 52

53 9. Überwachung Was ist das? Überwachungen sind Richtlinien, die Störungen unbeaufsichtigt auf Anwendergeräten erkennen. So kann der IT-Administrator Überwachungen für die Geräte der Anwender konfigurieren, die bei ungewöhnlichen Vorfällen automatisch Warnmeldungen oder Skripte ausführen, damit diese gelöst werden und all das ohne manuelles Eingreifen. Struktur eines Überwachungsprogramms Ein Überwachungsprogramm besteht aus drei Konfigurationsgruppen: Überwachungstyp: bestimmt die Funktion Bedingungen: Überwachungsparameter, welche die Bedingungen beschreiben, unter denen eine Reaktion ausgelöst wird Reaktion: automatische Aktionen, die das Überwachungsprogramm auslösen kann. Es gibt drei Arten von Reaktionen: o Komponenten ausführen o s senden o Tickets erstellen (Kapitel 12) Überwachungsprogramme erstellen Klicken Sie auf System/Profilrichtlinie hinzufügen im Allgemeinen Menü, System, oder in einem bestimmten Profil in der Tableiste, Richtlinien. 53

54 Unter Typ wählen Sie Überwachen. Fügen Sie ein Ziel und ein Überwachungsprogramm hinzu. Eine Richtlinie kann mehr als ein dazugehöriges Überwachungsprogramm haben. Beim Hinzufügen eines Überwachungsprogramms erscheint ein Assistent mit 4 Schritten, mit dem Sie die notwendigen Einstellungen konfigurieren können. 54

55 Schritt 1: Arten von Überwachungsprogrammen In diesem Schritt bestimmen Sie das Überwachungsprogramm, das gemäß den auf dem Gerät des Anwenders zu überwachenden Ressourcen zur Richtlinie hinzugefügt wird. Name des Überwachungsprogramms Funktion Verfügbar in Onlinestatusüberwachung Überprüfen, ob das Gerät online ist Windows, Mac CPU-Überwachung Kontrolle der CPU-Nutzung Windows, Mac Speicherüberwachung Kontrolle der Speichernutzung Windows, Mac Komponentenüberwachung Starten einer Komponente, die aus Windows, Mac dem ComStore heruntergeladen oder vom Administrator entwickelt wurde Prozessüberwachung Kontrolle des Status eines bestimmten Windows, Mac Prozesses Dienstüberwachung Kontrolle des Status eines bestimmten Windows Dienstes Ereignisprotokollüberwachung Überwachen der Ereignisanzeige Windows Softwareüberwachung Überwachen der auf dem Gerät Windows installierten oder deinstallierten Software Überwachung des Security Kontrolle des Windows Security Windows Centers Center Status Überwachung der Festplattennutzung Kontrolle der Festplattenauslastung Windows Überwachung der Dateien-/ Ordnergröße Kontrolle der Größe von Dateien und Ordnern Windows 55

56 Schritt 2: Einzelheiten zu Überwachungsprogrammen Je nach seiner Funktion benötigt jedes Überwachungsprogramm leicht unterschiedliche Einstellungen. Also wird dieser Schritt je nach Art des vorher ausgewählten Überwachungsprogramms variieren. Im Allgemeinen erfordert dieser Schritt die folgenden Daten: Auslösedetails: ergänzende Überwachungseinstellungen und Bedingungen, die zum Auslösen einer Reaktion erfüllt sein müssen Warndetails: Sie können die Priorität des Warnhinweises festlegen (Kritisch, Hoch, Mittelschwer, Niedrig, Information). Details zur Auto-Auflösung: Sie können festlegen, wann ein Warnhinweis als automatisch aufgelöst gilt. Schritt 3: Einzelheiten zu Rückmeldungen In diesem Schritt können Sie die Reaktion auswählen, die ausgelöst wird, wenn die in Schritt 2 definierten Grenzwerte erreicht werden. 56

57 Folgende Komponente ausführen: die Drop-Down-Liste zeigt Ihnen die Komponenten, die aus dem ComStore importiert oder vom Administrator entwickelt wurden. Folgenden Empfängern eine schicken: Sie können die Empfänger, den Betreff und das Format der s festlegen. Über das Kontrollkästchen Standardempfänger werden s an die in der Tableiste, Einstellungen, im jeweiligen Profil festgelegten Konten gesendet. Schritt 4: Einzelheiten zu Tickets In diesem Schritt können Sie die automatische Erstellung von Tickets aktivieren. Wenn die im Schritt 2 definierten Grenzwerte erreicht werden, generiert das Überwachungsprogramm als Reaktion ein Ticket. Bevollmächtigter: Ordnen Sie die vom Überwachungsprogramm erstellten Tickets einem Techniker zu. Ticket -Benachrichtigung: Senden Sie eine mit den vom Überwachungsprogramm erzeugten Daten an die Adresse des Technikers. 57

58 10. Komponentenentwicklung Warum Komponenten entwickeln? Das Entwickeln von Komponenten ermöglicht dem Administrator, neue Prozesse zu kreieren, die auf den Geräten der Anwender laufen und die Funktionalität der PCSM-Plattform erweitern. Obwohl Panda Cloud Systems Management eine Sammlung an Standardkomponenten (ComStore) bietet, kann es notwendig sein, besondere Komponenten für die Ausführung spezieller Aufgaben zu entwickeln. Panda Cloud Systems Management wird deshalb als eine erweiterbare Plattform für die Fernverwaltung und Überwachung angeboten, die sich leicht an die speziellen Bedürfnisse jedes Kunden anpasst. Was sind die Voraussetzungen für das Entwickeln von Komponenten? Zunächst einmal grundlegende Programmierkenntnisse in einer der unterstützten Skriptsprachen: Sprache Als Standard enthalten in Anbieter Batch Alle Windowsversionen Microsoft Visual Basic Script Windows 98 und später Microsoft Windows NT 4.0 Option Pack und später JavaScript (Jscript) Windows 98 und später Microsoft Windows NT 4.0 Option Pack und später Powershell Windows 7 Microsoft Python Mac OS X 10.3 (Panther) Python Software Foundation Ruby - Yukihiro Matsumoto Groovy - Pivotal & Groovy Community Darüber hinaus muss der zur ausgewählten Skriptsprache dazugehörige Parser installiert sein und auf dem Gerät des Anwenders laufen. Einige Parser wie Python oder Groove müssen installiert werden und deshalb ist es nicht garantiert, dass die in diesen Sprachen programmierten Komponenten auf kürzlich installierten Windows-Computern funktionieren. 58

59 Vor dem Starten einer Komponente, die in einer nicht direkt vom Anwendergerät unterstützten Sprache entwickelt wurde, ist es empfehlenswert einen automatischen Job auszuführen, der den Parser verteilt. Softwareverteilung wird in Kapitel 11 beschrieben. Allgemeine Architektur von PCSM-Komponenten Die für Panda Cloud Systems Management entwickelten Komponenten sind in drei Arten eingeteilt, je nach ihrem Zweck, ihrem Verhalten und ihrer Ausführungsmethode. Anwendungen: Diese Komponenten erleichtern die Softwareinstallation im Netzwerk des Kunden. Sie werden in Kapitel 11 beschrieben. Komponenten sind Skripte, die im Allgemeinen nur einmal ausgeführt werden und mit mindestens einer externen Datei (zu installierende Software) verbunden sind. Überwachungsprogramme: Die Überwachungsprofilrichtlinien oder Systemrichtlinien sind mit einer Komponente verbunden, welche die Überwachungsaufgaben ausführt. Im Allgemeinen gibt es drei Arten von Überwachungsprogrammen: - Intern: direkt zugreifbar von der PCSM-Konsole aus, wenn eine Richtlinie erstellt wird - Extern: Komponenten, die von Panda Security im ComStore veröffentlicht werden - Benutzerdefiniert: Komponenten, die vom IT-Administrator entwickelt wurden Externe und benutzerdefinierte Komponenten werden alle 60 Sekunden auf dem Gerät ausgeführt. Das Ausführungsinterval einer externen oder benutzerdefinierten Komponente kann nicht verändert werden. Das Verlängern der Laufzeit einer externen oder benutzerdefinierten Komponente muss in der Komponente erfolgen, z. B. durch Speichern von Zeitstempeln mit dem letzten Ausführungsdatum und durch Überprüfen dieses Wertes bei jeder Ausführung der Komponente. 59

60 Skripte: Dies sind kleine in Skriptsprache entwickelte Programme, die auf dem Gerät des Kunden laufen. Sie können einmal durch einen Job ausgeführt werden oder regelmäßig nach dem im Terminplaner festgelegten Kalender. In allen Fällen gilt, wenn die Komponenten auf die PCSM-Server-Plattform geladen wurden, werden sie auf alle nötigen Geräte kopiert und dort ausgeführt. Übersichtstabelle Komponententyp Ausgeführt von Läuft (alle) Zweck Anwendungen Sofort-Job oder Geplanter Job Überwachungsprogramme Skripte Profilrichtlinie oder Systemrichtlinie Sofort-Job oder Geplanter Job Bei Bedarf oder wenn im Kalender festgelegt 60 Sekunden (fest) Bei Bedarf oder wenn im Kalender festgelegt Zentralisierte Softwarebereitstellung und installation (Beschreibung in Kapitel 11) Geräteüberwachung Anwendungen ausführen, die vom Administrator entwickelt wurden Überwachungsprogramme, Anwendungen und Skripte haben fast dieselbe innere Struktur. Der Komponententyp bestimmt nur, wie die Verbindung zur PCSM-Konsole erfolgt. Deshalb werden beim Erstellen eines Jobs nur Skript- oder Anwendungskomponenten aufgelistet und beim Erstellen eines Überwachungsprogrammes erscheinen nur Überwachungsprogrammkomponenten, die kreiert oder aus dem ComStore importiert wurden. Eine Überwachungsprogrammkomponente erstellen Komponentendarstellung und Zweck Es folgen die Einzelheiten zu den Schritten beim Erstellen und Verteilen eines Überwachungsprogramms auf die Geräte in einem bestimmten Profil. Der Zweck der Komponente ist es, die Quarantäne des Sicherheitsproduktes Panda Cloud Office Protection leicht und einfach zu verwalten. Quarantäne speichert verdächtige Dateien, die Malware enthalten könnten und auch Dateien, die als Virus erkannt wurden. Deshalb muss der Administrator immer wissen, wie viele Dateien sich in Quarantäne befinden. 60

61 Das Beispiel zeigt außerdem, wie einfach es ist, neue Überwachungsprogramme für andere Softwarelösungen anzupassen und zu integrieren. Nachstehend finden Sie eine Zusammenfassung der Komponentenfunktionen. Betroffene Geräte Skriptsprache Häufigkeit der gesendeten Informationen PCSM-Aktionen Alle Windows 7 Geräte im Home Profil Visual Basic Script Alle 10 Minuten wird eine Benachrichtigung gesendet, ob sich die Anzahl der Dateien in Quarantäne erhöht hat Eine mit den Überwachungsergebnissen wird an den Administrator gesendet Automatische Erstellung von Warnhinweisen Eines der zu lösenden Probleme ist, dass der PCSM-Agent das Skript automatisch alle 60 Sekunden ausführt, aber die Informationen nur alle 10 Minuten weitergibt. Notwendige Komponenten Um diesem Beispiel zu folgen, wird eine Panda Cloud Office Protection Lizenz benötigt und der PCSM-Agent muss auf dem Gerät installiert sein. Da die Dinge, die von Panda Cloud Office Protection in Quarantäne geschickt werden, Dateien in einem speziellen Ordner auf dem Gerät sind, kann dieses Beispiel auch für jeden anderen Ordner im System genutzt werden. Panda Cloud Office Protection ist eine vollständige, cloud-basierte Sicherheitslösung, die leicht zu benutzen ist und das Leistungsvermögen der Collective Intelligence nutzt, um maximalen Schutz vor Spam und bekannten Bedrohungen für Desktops, Server, Laptops und Exchange Server in Echtzeit zu bieten. Die Komponente wird in Visual Basic Script entwickelt und deshalb müssen der Wscript.exe oder der Cscript.exe Parser auf dem Gerät des Anwenders installiert sein. Dieser Parser kommt als Standard auf allen Windows-Betriebssystemen. Kommunikationsprotokoll zwischen der Komponente und dem PCSM-Server Fast alle Komponenten benötigen Informationen vom PCSM-Server und senden die Ergebnisse ihrer Ausführung zurück. Alle zwischen dem PCSM-Server und der Komponente ausgetauschten Informationen werden durch die auf dem Gerät erstellten Umgebungsvariablen ausgeführt. Diese Umgebungswerte werden automatisch durch den PCSM-Agenten erstellt, wenn eine Komponente gestartet wird. Es ist jedoch normal, dass das Skript manuell Umgebungsvariablen erstellt, um Rückmeldungen an den PCSM-Server zu senden, welche dieser sammelt und der PCSM-Konsole hinzufügt. 61

62 In diesem Fall werden drei Umgebungsvariablen benötigt. Name der Variable Aktion Zweck PCOP_PATH Lesen Das Skript liest auf dem Gerät den Pfad aus, in dem PCOP die Quarantäne- Elemente speichert. Ergebnis Schreiben Sendet durch die Standardausgabe alle 10 Minuten Daten an den PCSM-Server Errorlevel Schreiben Skript-Errorcode. Wenn er 0 ist, schließt der PCSM-Server daraus, dass die Überwachung korrekt ist und sammelt keine Standardausgabedaten. Wenn er 1 ist, schließt der PCSM-Server daraus, dass die Überwachung nicht korrekt ist, sammelt Standardausgabedaten (Ergebnisvariable) und verarbeitet sie. Für die Ausführung der Komponente auf dem Gerät des Kunden wird der Pfad zu dem Ordner benötigt, der überwacht werden soll. Dieser Pfad könnte im Skriptquellcode fest eingebaut sein, aber in diesem Beispiel werden die vom Administrator in die PCSM-Konsole eingegebenen Werte genutzt, um der Komponente mehr Flexibilität zu geben. Das Errorlevel informiert den PCSM-Server darüber, ob er die Skriptrückmeldung (Ergebnisvariable) verarbeiten muss oder nicht: Wenn die Anzahl der in Quarantäne befindlichen Dateien dieselbe oder niedriger ist (Leeren der Quarantäne), wird ein Fehlerlevel 0 gesendet. Wenn sich die Anzahl der Dateien jedoch erhöht hat, dann wird 1 gesendet und bestimmte Informationen werden in die Standardausgabe (Ergebnisvariable) geschrieben. Damit der PCSM-Server die Standardausgabe richtig interpretieren und den Inhalt aus der Ergebnisvariable der Komponente entnehmen kann, muss das folgende Format verwendet werden: Zeile 1: <-Start Result-> Zeile 2: Result=data to send) Zeile 3: <-End Result-> Wenn die gewählte Skriptsprache Batch ist, muss das Symbol ^ vor jedem < oder > Zeichen eingefügt werden. Zum Beispiel ^<-Start Result-^> 62

63 Ergebnis wird die Variable sein, aus welcher der PCSM-Server die Daten entnimmt, um die Ausführung der Komponente zu beenden. Der String rechts von = ist der Inhalt, den der PCSM-Server speichert und verarbeitet. Allgemeines Funktionsschema - Schritt 1: die Komponente Überwachungsprogramm auf die PCSM-Plattform laden - Schritt 2: das Überwachungsprogramm über die Systemrichtlinien oder die Profilrichtlinien installieren - Schritt 3: die Komponente alle 60 Sekunden ausführen - Schritt 4: Informationen alle 10 Minuten senden und in der PCSM-Plattform verarbeiten Schritt 1: Laden der Komponente Überwachungsprogramm auf die PCSM- Plattform Im Allgemeinen Menü, Komponenten, Komponente hinzufügen. 63

64 Wählen Sie den Skripttyp Überwachungsprogramme. Wählen Sie die zu benutzende Skriptsprache aus, in diesem Beispiel VBScript. Stellen Sie die maximale Ausführungszeit der Komponente ein. Nach Ablauf der Zeit wird der PCSM-Agent die Ausführung unterbrechen. Es ist empfehlenswert, sehr schlanke Komponenten zu entwickeln, die sehr schnell ausgeführt werden. Legen Sie die Eingabe- und Ausgabevariablen fest. In diesem Beispiel enthält PCOP_PATH den Pfad zum Panda Cloud Office Protection Quarantäne-Ordner. Ergebnis wird den Skriptoutput enthalten. 64

65 Durch das Klicken auf Speichern wird die Komponente dem Konto-Repository hinzugefügt. Schritt 2: Installieren des Überwachungsprogramms durch System- oder Profilrichtlinien Wenn Sie ein Überwachungsprogramm entwickeln, müssen Sie eine Überwachungsprofilrichtlinie oder eine Systemrichtlinie erstellen. Fügen Sie das Ziel Windows 7 und ein Komponentenüberwachungsprogramm hinzu. 65

66 Wählen Sie die gerade erstellte Komponente aus und speichern Sie diese. Sie können den Schweregrad des Warnhinweises, den PCSM bei einem gemeldeten Fehlerzustand erstellen muss, bestimmen und ob der Warnhinweis automatisch nach einer bestimmten Zeit oder manuell vom Administrator (N/A) aufgehoben werden soll. Damit der PCSM-Server eine generieren kann, wenn neue Dateien in der Quarantäne entdeckt werden, definieren Sie eine -Antwort (Respond) mit der Adresse des Empfängers. Der Inhalt der Ergebnis-Antwort-Variable wird in die kopiert und dem Administrator geschickt. 66

67 Nachdem ein Überwachungsprogramm erstellt worden ist, wird eine Zeile auf dem Bildschirm Richtlinien hinzugefügt. Klicken Sie auf Push Changes, um das Überwachungsprogramm zu installieren. Die Richtlinie wird angewendet und das Überwachungsprogramm wird auf alle betroffenen Geräte installiert und ausgeführt. Schritt 3: Umgebungsvariablen erstellen und die Komponenten alle 60 Sekunden ausführen Wenn das Überwachungsprogramm auf den Geräten installiert worden ist, läuft es alle 60 Sekunden. Dazu ruft es den dazugehörigen Skript-Parser auf, liest die notwendigen Umgebungsvariablen und schreibt die entsprechende Antwort. Den vollständigen Quellcode des Skripts finden Sie im Anhang A. In Zeile 24 liest es die PCOP_PATH Umgebungsvariable und erhält ein FileSystem Object, das auf den Quarantäneordner hinweist. Zeilen 25 bis 30 kontrollieren, ob die Umgebungsvariablen festgelegt sind. Wenn die Variablen nicht in der PCSM-Konsole festgelegt wurden, wird ein Fehler in der Ergebnisvariable gemeldet und die Ausführung endet mit Fehlerlevel 1 (Zeile 34). 67

68 In den Zeilen wird die Anzahl der Elemente im überwachten Ordner in die Registry des Gerätes geschrieben. Da das Skript alle 60 Sekunden ausgeführt wird und wir alle 10 Minuten einen Abgleich machen wollen, werden 10 Einträge mit dem Wert, der alle 60 Sekunden aufgezeichnet wird, in die Registry geschrieben. Die Komponente wird auf dem Gerät des Anwenders automatisch ausgeführt: Der Status zwischen zwei erfolgreichen Ausführungen desselben Skripts wird nicht gespeichert. Wenn dasselbe Skript mehrere Male ausgeführt werden muss, um ein gültiges Ergebnis zu erhalten, muss der Zwischenstatus auf dem Gerät gespeichert und bei jeder Ausführung gelesen werden. Es ist empfehlenswert die Registry zu nutzen, um den Status zwischen zwei oder mehreren Ausführungen der Komponente auf einem Gerät zu speichern, obwohl auch die temporären Dateien genutzt werden können. Wenn der Zähler gleich 9 ist (10 Einträge in der Registry, 10 Minuten), wird der Ausgangswert mit dem Endwert (Zeile 57) verglichen. Wenn er in den Zeilen 59, 60 und 61 höher ist, wird die Differenz gesendet und das Skript wird mit Errorrlevel 1 beendet. Wenn der letzte Zyklus geendet hat, werden alle Einträge aus der Registry (Zeilen 64 66) gelöscht und der letzte Eintrag wird als der erste kopiert, um den Prozess fortzusetzen. 68

69 Schritt 4: Standardoutput alle 10 Minuten senden und in der PCSM- Plattform verarbeiten Wenn das Skript die Ausführung mit Errorlevel 0 beendet, wird die Rückmeldung vom PCSM-Server nicht berücksichtigt. Wenn es mit Errorlevel 1 endet, liest der PCSM-Server die Standardeingabe auf der Suche nach der Ergebnisvariable zwischen den Strings <-Start Result-> und <-End Result->. Mit diesen Informationen werden die in der Überwachungsprogrammbeschreibung konfigurierten Aktionen ausgeführt. Wie man globale Variablen nutzt Wenn häufig neue Skripts entwickelt werden, ist es sehr wahrscheinlich, dass Sie in allen einheitliche Daten haben wollen, wie z. B. Pfade zu bestimmten Ordnern auf der Festplatte des Anwenders, die Bezeichnungen von gemeinsam genutzten Laufwerken auf Servern oder sogar allgemeine Zugangsdaten für höhere Systemberechtigungen. Eine mögliche Lösung ist es, jedem Skript alle benötigten Daten hinzuzufügen. Wenn sich dann die Daten ändern, muss jedes Skript manuell aktualisiert und neu auf die Geräte verteilt werden. Die bequemste Lösung ist jedoch, globale Variablen im Profil- oder Systemlevel zu definieren, die direkt von den Skripts genutzt werden können. Im Allgemeinen Menü, System, Einstellungen oder im Profilmenü, Einstellungen können Sie Variablen und ihren Inhalt definieren. Wenn sie auf den Geräten der Anwender ausgeführt werden, kann man direkt über die von Ihnen entwickelten Skripte auf die Variablen zugreifen. Falls Sie sensible Daten wie Benutzernamen und Passwörter speichern, können Sie das Kontrollkästchen Verbergen auswählen, um den Inhalt der Variable in der PCSM-Konsole durch Sternchen zu ersetzen. Beim Verteilen des Skripts sendet der PCSM-Server den Inhalt der Variable an den PCSM-Agenten. Dieser erstellt Umgebungsvariablen auf dem Gerät des Anwenders, auf welche die von Ihnen entwickelten Skripte leicht zugreifen können. 69

70 Wie man den Status eines Gerätes in der PCSM-Konsole anzeigt Schritt 2 im Beispiel bestimmte, welche Aufgaben der PCSM-Server auslösen muss, wenn das Komponentenergebnis Error ist; in diesem Fall wurde eine mit dem geänderten Status des Gerätes an den Administrator gesendet. Diese Herangehensweise ist richtig, wenn ein Gerät einen Fehler hat oder eine Ausnahmesituation besteht und der Administrator darüber informiert werden möchte, ohne jedes Mal die PCSM-Konsole überprüfen zu müssen. Es könnte jedoch notwendig sein, den Status des Gerätes einfach ohne Berücksichtigung der Fehlerbedingungen anzuzeigen. Dazu müssen die Daten von Interesse in der PCSM-Konsole veröffentlicht werden. Für dieses Szenario nutzt die Komponente die Custom Fields der PCSM-Konsole, die in der Tableiste, Zusammenfassung im Gerätelevel auf jedem Gerät erscheinen. Das Tag Custom Field 1 und die folgenden (bis zu 5) können global für alle vom Partner verwalteten Geräte umbenannt werden, ungeachtet des Profils, zu dem sie gehören. Das Tag kann auch auf einem bestimmten Profi level definiert werden: Im Systemlevel im Allgemeinen Menü, Konto, Einstellungen Im Profillevel in der Tableiste, Einstellungen Der Inhalt der Custom Fields übernimmt die Zweige der Registry jedes Gerätes wie folgt: 70

71 HKEY_LOCAL_MACHINE\SOFTWARE\CentraStage\Custom1 HKEY_LOCAL_MACHINE\SOFTWARE\CentraStage\Custom2 HKEY_LOCAL_MACHINE\SOFTWARE\CentraStage\Custom3 HKEY_LOCAL_MACHINE\SOFTWARE\CentraStage\Custom4 HKEY_LOCAL_MACHINE\SOFTWARE\CentraStage\Custom5 Jeder spezifizierte Zweig kann einen String von bis zu 255 Zeichen enthalten. Eine Komponente kann frei in die spezifizierten Zweige schreiben, sodass der PCSM- Agent sie beim Start eines automatischen Audits (alle 24 Stunden) oder eines manuellen Audits (nach Bedarf) lesen und die Informationen an den PCSM-Server schicken wird, der sie in der PCSM-Konsole anzeigt. Des Weiteren wird der PCSM- Agent diese Informationen aus der Registry des Gerätes löschen, wenn er sie gelesen und an den PCSM-Server gesendet hat. Eine Skripttyp-Komponente erstellen Eine Skriptkomponente wird auf genau dieselbe Weise erstellt wie eine Überwachungsprogrammkomponente. Zuerst wählen Sie Skripte beim Erstellen der Komponente. Der Konfigurationsbildschirm unterscheidet sich von dem in Überwachungsprogramme nur im Hinblick auf den Informationssammelbereich: Sie können keine Ausgabevariablen definieren, aber stattdessen können Sie nach Strings im Standardoutput (stdout) oder Erroroutput (stderr) suchen, um Warnbedingungen in der PCSM- Konsole zu aktivieren. 71

72 Um eine Skriptkomponente zu benutzen, markieren Sie diese zuerst als Favoriten in der Komponentenliste. Sie wird dann in den Listen Sofort-Jobs und Jobs erscheinen. Klicken Sie auf OK und die Komponente wird sofort ausgeführt. 72

73 11. Zentralisierte Softwarebereitstellung und Installation Ziel der zentralisierten Softwareinstallation Der PCSM-Server kann automatisch Softwaredateien und -pakete auf allen verwalteten Geräten im Netzwerk installieren. Dadurch kann der Administrator sicherstellen, dass sich die vom Anwender benötigten Programme oder Dokumente auf allen verwalteten Geräten befinden, ohne dass er zu jedem einzelnen Gerät gehen oder über den Fernzugriff eine Verbindung herstellen muss. Durch die automatische Softwareinstallation kann der Administrator die Software schwachstellenfrei halten (Java, Adobe, etc.), wodurch das Risiko von Infektionen und der Verlust vertraulicher Daten gesenkt werden. Voraussetzungen für die zentralisierte Softwareinstallation Softwarebereitstellung und -installation ist ein Prozess, der durch die Anwendungskomponenten ausgeführt wird. Wie die Überwachungsprogramm- und Skriptkomponenten (in Kapitel 10 beschrieben) bestehen die Anwendungskomponenten aus einem kleinen Skript, das in diesem Fall einfach den Installationsprozess steuert und eine Reihe von Dateien und/oder Programmen installiert. Für jede Gruppe von Dateien oder Programmen, die auf dem Gerät des Anwenders installiert werden soll, muss eine separate Komponente erstellt werden. 73

74 Paketbereitstellung und Installationsvorgang Die allgemeine Vorgehensweise besteht aus 4 Schritten: 1. Identifizieren der Geräte, auf denen die Software installiert werden soll Die Vorgehensweise zum Finden der Geräte, auf denen die Dateien oder Programme nicht installiert sind, variiert je nachdem, ob der PCSM-Server die auf dem Gerät installierten Programme prüfen kann oder nicht. Wenn die zu installierende Software auf der vom Betriebssystem geführten Liste der installierten Programme erscheint, wird sie auch in den PCSM-Softwareaudits erscheinen und deshalb kann ein Filter erstellt werden, um die Geräte herauszufiltern, auf denen die Software bereits installiert ist. Wenn die Software kein Installationsprogramm hat und deshalb nicht auf der Liste der installierten Programme erscheint oder wenn es einmalige Dokumente, Konfigurationsdateien, etc. sind, dann kann der PCSM-Server die Geräte mit bereits installierten Dateien nicht filtern und das Installationsskript muss die entsprechenden Kontrollen manuell ausführen. 2. Erstellen einer Softwareinstallationskomponente Die Schritte sind dieselben wie die zum Erstellen von Skript- oder Überwachungsprogrammkomponenten (in Kapitel 10 beschrieben). 3. Starten eines Jobs, um die Installationskomponente zu den Agenten auf den betroffenen Geräten zu senden. Sie können einen geplanten Job an einem Tag starten, an dem der Anwender nicht mit dem Gerät arbeitet, um die Auswirkungen auf die Leistung zu minimieren. 4. Sammeln der Installationsergebnisse, um mögliche Fehler zu erkennen. Wenn der Prozess abgeschlossen ist, können ein Errorcode und/oder eine Nachricht erfasst werden, welche das Installationsergebnis in der PCSM-Konsole anzeigen. Es gibt vier Endstatus: - Erfolg: Die Installation wurde ohne Fehler ausgeführt. Das Skript gibt den Code Errorlevel 0 aus. - Erfolg Warnung: Die Installation wurde mit einigen unerheblichen Fehlern ausgeführt. Das Skript gibt den Code Errorlevel 0 und einen String durch den Standard Output oder Standard Error aus, welche von der PCSM-Konsole interpretiert werden. 74

75 - Error: Die Installation wurde nicht abgeschlossen. Das Skript gibt den Code Errorlevel 1 aus. - Fehler-Warnung: Die Installation wurde nicht abgeschlossen. Das Skript gibt den Code Errorlevel 1 und einen String durch den Standard Output oder Standard Error aus, welche von der PCSM-Konsole interpretiert werden. Installationsbeispiele Zur Veranschaulichung der Softwareverteilung gibt es vier Beispiele: 1. Dokumente mittels Skriptsprache installieren 2. Dokumente ohne Skriptsprache installieren 3. Sich selbst installierende Software installieren 4. Software ohne Installationsprogramm installieren Die hier beschriebenen Abläufe, die Tools von Drittanbietern und die benutzten Skriptsprachen sind Beispiele und könnten variieren. Panda Cloud Systems Management wurde entwickelt, um sich flexibel an die Tools anzupassen, die der Administrator bevorzugt. Dokumente mittels Skriptsprache installieren Das Ziel dieses Beispiels ist es, drei Worddokumente in einem Ordner im Hauptverzeichnis des Anwendergerätes zu installieren. Dazu befolgen Sie die folgenden Schritte: 1. Die Geräte ausfindig machen, auf denen die Software installiert werden soll Da in diesem Fall der PCSM-Server keinen Überblick über den Status der Festplatte des Anwendergerätes auf dem Systemdateilevel hat, wird das Installationsskript auf allen Geräten in dem Profil installiert und das Skript (Zeilen 19 24) überprüft, ob der die Dokumente enthaltende Ordner existiert oder nicht. Wenn der Ordner nicht existiert, wird er erstellt (Zeile 28), die Dokumente werden in ihn verschoben (Zeilen 30-32) und die Nachricht wird durch den Standard Output (Zeile 37) gesendet. 75

76 2. Eine Software-Installationskomponente erzeugen Eine Anwendungskomponente wird ergänzt, zu welcher die zu installierenden Dokumente und das Skript, das den Ordner erstellt und die drei Dokumente auf jedes Gerät verschiebt, hinzugefügt werden: 76

77 Auf dem Bildschirm Komponente: Anwendung ist es wichtig, Folgendes festzulegen: - Die Komponente ist Favorit, sodass sie auf der Komponentenliste erscheint (Sternsymbol oben links) - Die Komponentenkategorie (Anwendungen) und der Name - Die benutzte Skriptsprache (Installationsbefehl) - Die zu installierenden Dokumente im Abschnitt Dateien hinzufügen In Post-Conditions können Sie Textstrings festlegen, welche die PCSM-Konsole als Warnungen interpretieren wird. Das Beispiel legt fest, dass wenn der Standard Output (Resource:stdout) den String Installation nicht erfolgreich enthält (Qualifier:is found in), das Ergebnis der Ausführung des Skriptes als Warnung angesehen wird. 3. Einen Job starten, um die Software an die Agenten auf den betroffenen Geräten zu senden Klicken Sie auf Sorfort-Job oder Job nachdem Sie die Geräte in Profile ausgewählt haben, auf denen die Dokumente installiert werden sollen. 77

78 Auf dem Systemlevel können Sie ganze Profile auswählen, für welche die Softwareinstallation angewendet werden soll. 4. Sammeln der Installationsergebnisse, um mögliche Fehler zu erkennen Die Ausgabebedingungen, die im Skript im Beispiel 3 definiert wurden, sind: - Erfolg: Die Dateien werden in den Zielordner ohne Fehler kopiert (Zeilen 30-32). Endet mit Errorlevel 0 (Zeile 38). - Error: Ein Fehler tritt beim Kopieren der Dateien auf. Endet mit Errorlevel 1 (Zeile 35) - Erfolg Warnung: Der Ordner existiert bereits, also werden die Dateien nicht kopiert. Endet mit Errorlevel 0 (Zeile 23) und der String Installation nicht erfolgreich wird generiert, welchen der PCSM-Server als Warnung interpretiert wie im Post-Conditions Bereich in Schritt 3 konfiguriert. Nachdem der Job gestartet worden ist, wird er im Allgemeinen Menü, Geplante Jobs, Aktive Jobs, erscheinen. 78

79 In der Tableiste, Abgeschlossene Jobs, können Sie das Installationsergebnis sehen, in Rot, wenn es mit einem Fehler endete, in Orange, wenn es eine Warnung gab oder in Grün, wenn die Installation Erfolgreich war. Die Symbole Stdout und Stderr zeigen eine vom Skript erzeugte Kopie des Standard Output und des Standard Error. Des Weiteren enthält dieser Tab eine Symbolleiste, die das Auslösen verschiedener Aktionen ermöglicht: - Der Bereich Aktionen gruppiert die Symbole, die Ihnen ermöglichen, den Job erneut zu starten, die Seite neu zu laden, um den Jobstatus zu aktualisieren oder den Standard Output und Error in eine Datei herunterzuladen. - Mit dem Views-Filter können Sie die Jobs nach Status filtern. Dokumente ohne Skriptsprache installieren Das Installationsskript kann stark vereinfacht werden, wenn vorhergehende Kontrollen nicht erforderlich sind oder wenn keine Warnungen in der PCSM-Konsole erzeugt werden müssen. Dieses Beispiel installiert die 3 Dokumente aus dem vorigen Beispiel, aber in diesem Fall wird ein selbstentpackendes.exe Paket erzeugt, welches die komprimierten Dokumente und die als notwendig erachtete Ordnerstruktur enthält, anstatt die Ordnerstruktur vom Skript zu erstellen. Das.EXE Paket kann durch Benutzung verschiedener Tools erzeugt werden. Dieses Beispiel nutzt WinRar. Eine kostenfreie Version von WinRar können Sie hier herunterladen: Dieses Beispiel erzeugt eine selbstentpackende.exe Datei mit den folgenden Eigenschaften: - Funktionsweise im Hintergrundmodus - Der Ordner mit dem Inhalt wird automatisch in C:\ erzeugt - Wenn der Ordner bereits existiert, wird sein Inhalt ohne Warnung überschrieben 79

80 Es ist notwendig, eine selbstentpackende Datei zu erzeugen, die im Hintergrundmodus funktioniert, d. h., sie zeigt keine Dialogfenster an und erfordert kein Eingreifen des Benutzers. Schritte für das Erzeugen einer selbstentpackenden Installationsdatei zur stillen, unbeaufsichtigten Installation: - Schritt 1: Bereiten Sie den Ordner mit den zu installierenden Dokumenten vor. Erstellen Sie das Hauptverzeichnis ACME Documents in dem Beispiel und fügen Sie alle zu installierenden Dateien, Ordner und Unterordner ein. - Schritt 2: Erstellen Sie eine ausführbare Datei. Bei geöffnetem WinRar- Programm wählen Sie den gerade erstellten Ordner ACME Documents sowie die Optionen Create SFX archive und Create solid archive. - Schritt 3: Konfigurieren Sie die ausführbare Datei als Still. Dazu aktivieren Sie Alle verstecken in Advanced -> SFX Optionen -> Modi -> Silent Mode. 80

81 81

82 - Schritt 4: Im Tab Allgemein bestimmen Sie den zu extrahierenden Pfad, wo der Ordner erstellt wird. - Schritt 5: Legen Sie fest, dass alle Dateien ohne Nachfrage überschrieben werden, wenn sie bereits existieren. 82

83 Wenn das ACME Documtents.exe Paket erzeugt worden ist, erstellen Sie die Anwendungskomponente, um es zu installieren. Auf dem Bildschirm Komponente: Anwendung ist es wichtig, Folgendes festzulegen: - Die Komponente ist Favorit, sodass sie auf der Komponentenliste erscheint (Sternsymbol oben links) - Die Komponentenkategorie (Anwendungen) und der Name - Die benutzte Skriptsprache (Installationsbefehl), in diesem Fall Batch - Hinzufügen des zu installierenden Paketes ACME Documents.exe Das Skript wird einfach das selbstentpackende Paket ausführen, was den Ordner in Laufwerk C:\ zusammen mit der internen Struktur erstellen wird und dabei den bisherigen Inhalt überschreibt. Installation von selbstinstallierender Software In diesem Beispiel wird das Paket Microsoft Framework.NET 4.0 dotnetfx40_ Full_x86_x64.exe auf Geräten installiert, auf denen es noch nicht installiert ist. Da Microsoft Framework.NET 4.0 in der Programmliste erscheint, können wir einen Filter benutzen, um diese Geräte zu finden. Das Installationspaket ist eine selbstentpackende.exe, welche die Ausführung der Parameter /q/norestart im Hintergrund ermöglicht und das Gerät am Neustart hindert. Deshalb ist keine zusätzliche spezielle Vorbereitung nötig. 83

84 1. Erkennen der Geräte, auf denen die Software installiert werden soll Um die Geräte herauszufiltern, auf denen die Software bereits installiert ist, müssen Sie wissen, welcher Identifikationsstring dem bereits installierten Paket entspricht. Diese Daten können von der Tableiste, Audit, Software eines Gerätes, auf dem das Paket bereits installiert ist, abgerufen werden. Diese Daten werden benutzt, um einen Profilfilter oder einen Systemfilter mit den folgenden Einstellungen zu erstellen: - Feld: Softwarepaket zum Prüfen der auf dem Gerät installierten Software - Suchbegriff: Hier können Sie den String eingeben, der die zu installierende Software identifiziert - Bedingung: Does not contain um die Geräte auszuwählen, die den im Suchbegriff festgelegten Inhalt im Feld Softwarepaket nicht enthalten 2. Erzeugen einer Softwareinstallationskomponente Es ist äußerst einfach, eine Installationskomponente zu erstellen. 84

85 Auf dem Bildschirm Komponente: Anwendung ist es wichtig, Folgendes festzulegen: - Die Komponente ist Favorit, sodass sie auf der Komponentenliste erscheint (Sternsymbol oben links) - Die Komponentenkategorie (Anwendungen) und der Name - Die benutzte Skriptsprache (Installationsbefehl), in diesem Falle Batch - Das zu installierende Paket dotnetfx40_full_x86_x64.exe hinzufügen Das Skript hat nur eine relevante Zeile, und zwar die, welche das Installationspaket mit den für eine Installation im Hintergrund erforderlichen Parametern ausführt. 3. Starten eines Jobs, um die Software an die Agenten auf den betroffenen Geräten zu senden Wählen Sie zuerst den bereits vorbereiteten Filter aus und führen Sie dann einen Job mit der erstellten Anwendung aus. 4. Sammeln der Ergebnisse zum Identifizieren möglicher Fehler Eine gute Möglichkeit zum Überprüfen des Installationsergebnisses ist die Kontrolle des vorbereiteten Gerätefilters. Sie können sehen, ob die Anzahl der Geräte, auf denen die Software nicht installiert ist, niedriger ist. Alle weiterhin im Filter erscheinenden Geräte werden irgendeine Art Fehler gemeldet haben. 85

86 Die Daten des Geräteaudits, welche die installierte Hardware und Software enthalten, werden vom PCSM-Agenten alle 24 Stunden an den PCSM- Server geschickt. Folglich wird die kürzlich installierte Softwareliste nicht vor Ablauf dieser Zeit aktualisiert werden. Sie können jedoch ein manuelles Update herbeiführen, indem Sie die Aktion Request device audit in der Action Bar nutzen. Software ohne Installationsprogramm installieren Viele Programme bestehen aus einer einzigen ausführbaren Datei ohne ein dazugehöriges Installationsprogramm, das die notwendige Struktur im Startmenü, die Desktopverknüpfung oder die entsprechenden Einträge in Programme Hinzufügen oder Entfernen erzeugt. Diese Arten von Programmen können installiert werden, indem man dem Beispiel des Dokumentes oder des selbstentpackenden Paketes folgt. Wenn man es auf diese Weise tut, wird jedoch verhindert, dass der PCSM-Server ein zuverlässiges Audit der installierten Programme durchführt, da sie nicht in der Liste der installierten Programme erscheinen werden. Aus diesem Grund werden oft Tools von Drittanbietern genutzt, die zur leichteren Ausführung ein einzelnes MSI-Paket mit allen hinzuzufügenden Programmen erzeugen und die notwendigen Gruppen im Startmenü sowie die Verknüpfung zum Desktop des Anwenders erstellen. Dazu wird in diesem Beispiel das Programm Advanced Installer benutzt, eine kostenfreie Version, mit der Sie ganz einfach MSI-Installer generieren können. Eine kostenfreie Version von Advanced Installer können Sie hier herunterladen: Befolgen Sie diese Schritte, um das Installationsprogramm zu erstellen: - Wählen Sie die Vorlage Simple (frei) 86

87 - In Product Details geben Sie die grundlegenden Informationen des Installationsprogramms ein: Produktname, Produktversion und Firmenname. - Fügen Sie die zu installierenden Dateien und Programme sowie die zu erstellenden Verknüpfungen hinzu. Dies tun Sie im Tab Files and Folders. 87

88 - Zum Schluss führen Sie Build aus und das MSI-Paket wird im ausgewählten Ordner erstellt. 88

89 Wenn das Installationspaket erstellt worden ist, sind die Schritte für das Generieren einer Installationskomponente und ihrer Installation dieselben wie in den vorherigen Beispielen, abgesehen vom Skript in Batch, dessen Installationsbefehl leicht abweicht. 89

90 Das MSIEXEC-Dienstprogramm wird aufgerufen, indem man den /qn Parameter zum Starten einer stillen Installation nutzt. - Die Komponente wird als Favorit gekennzeichnet, sodass sie auf der Komponentenliste erscheint (Sternsymbol oben links) - Die Komponentenkategorie (Anwendungen) und der Name - Die benutzte Skriptsprache (Installationsbefehl), in diesem Fall Batch - Hinzufügen des zu installierenden Paketes My Software.msi Bandbreite bei der Softwareinstallation sparen Der auf jedem Gerät installierte PCSM-Agent überprüft alle 60 Sekunden, ob Downloads auf dem PCSM-Server zur Verfügung stehen. Wenn ein Download verfügbar ist, wird er für jeden PCSM-Agenten einzeln ausgeführt. Auf diese Weise wird das Downloadvolumen für ein 50 Megabyte großes Installationspaket und ein Netzwerk mit 50 Geräten 2,4 Gigabyte betragen. Um das Gesamtdownloadvolumen zu minimieren, kann einem der Netzwerkgeräte die Rolle des Repositoriums/Cache zugewiesen werden. Tut man dies, lädt nur dieses Gerät vom PCSM-Server herunter und installiert dann das Paket auf allen betroffenen Netzwerkgeräten. 90

91 Um einem Gerät die Rolle des Repositoriums/Cache zu geben, greifen Sie auf dem Gerätelevel in der PCSM-Konsole auf das Gerät zu und klicken auf das Symbol Add/Remove as local cache in der Action Bar. Das vorgesehene Gerät wird dann die Komponenten und das Installationspaket herunterladen und auf die Geräte im lokalen Netzwerk installieren. Dadurch wird die Installationsgeschwindigkeit erhöht und die Bandbreitennutzung minimiert. 91

92 12. Ticketing Was ist das Ticketsystem? Die steigende Anzahl der zu verwaltenden Geräte und die wachsende Zahl der Techniker, die auftretende Probleme lösen, erfordern früher oder später die Einführung eines Systems, mit dem jeder von der IT-Abteilung bearbeitete Fall dokumentiert und koordiniert werden kann. Ticketsysteme werden benutzt, um jeden Störfall von der Entstehung bis zur Klärung zu verfolgen und dabei alle Zwischenstatus aufzuzeichnen. Daher ist es möglich, einen Fall einem bestimmten Techniker zuzuordnen. Sollte dieser Techniker nicht verfügbar sein oder die Aufgabe ein sehr spezielles Wissen erfordern, kann der Auftrag einem anderen Techniker zugewiesen werden. Alle Dokumentationen und die bis dahin gemachten Fortschritte werden gespeichert, um die Störungen des Anwenders durch wiederholte Anfragen zum selben Problem zu minimieren. Zum Zweiten ermöglicht das zwingende Dokumentieren der Störfälle, dass die Prozedur in Zukunft wiederverwendet und verbessert werden kann, wodurch die Reaktionszeit für offene Fälle minimiert wird. Und schließlich können Sie mit einem Ticketsystem die Arbeitsbelastung der IT- Abteilung ermitteln, die zu einer bestimmten Zeit noch offenen Tickets filtern und wenn nötig weitere Ressourcen zuordnen. Beschreibung eines Tickets Jedes Ticket enthält eine Reihe von Feldern, die es beschreiben: 92

93 Ersteller: Ticketersteller kann ein Gerät sein (wenn das Ticket von einem Überwachungsprogramm erzeugt wurde), ein Anwender oder ein Systemkonto (wenn es von einem Techniker erzeugt/zugewiesen wurde). Profil: Gruppen von Geräten, zu denen das Ticket gehört Erstellungsdatum: Erstellungsdatum des Tickets Status: Es gibt vier Status: Neu: Kürzlich erstelltes Ticket mit der Beschreibung des Problems und dem zugeordneten Techniker. Es ist noch kein Job erledigt worden. In Bearbeitung: Der von der IT-Abteilung zugeordnete Techniker bearbeitet den Störfall. Warten: Die Lösung des Störfalls ist von äußeren Ursachen beeinflusst worden (Mangel an Informationen, Änderungen von Anwendern oder anderen bestätigen). Abgeschlossen: Der Störfall wurde geklärt und abgeschlossen. Schweregrad: Schweregrad des Tickets. Wenn es von einem Überwachungsprogramm erzeugt wurde, wird der ihm zugeordnete Schweregrad kopiert. Zugeordnet: Techniker, der zugeordnet wurde, um den Störfall zu klären Zusammenfassung: Zusammenfassung des Störfalls 93

94 Inhalt: Beschreibung des Störfalls Kommentare: In diesem Feld können sowohl der Techniker als auch der Anwender Einträge vornehmen, welche die Informationen zum Störfall vervollständigen und aktualisieren. Es ist empfehlenswert, das Feld Kommentare häufig zum Dokumentieren der vorgenommenen Änderungen am Störfall und der ausgeführten Handlungen zu nutzen. Dies sollten sowohl die Techniker der IT-Abteilung als auch die Anwender mithilfe der durchgeführten Tests und anderer Daten von Interesse tun. Ziel ist es, diese Informationen wiederzuverwenden, um ähnliche Störfälle in Zukunft leichter zu lösen. Ein Ticket erstellen Tickets werden auf 3 Arten erstellt: Manuell vom Anwender über den PCSM-Agenten: Wenn der Anwender feststellt, dass das Gerät nicht richtig funktioniert und einen schriftlichen Bericht der Symptome hinterlassen möchte. Um ein Ticket manuell zu einzutragen, muss der Anwender den PCSM-Agenten durch Rechtsklick auf sein Symbol öffnen, Öffnen wählen und auf den Tab Tickets, Ein Neues Ticket Öffnen, klicken. Nach dem Erstellen des Tickets können neue Kommentare hinzugefügt werden und es kann geschlossen werden. 94

95 Automatisch von einem Überwachungsprogramm, das einen Zustand auf dem Gerät des Anwenders entdeckt, der als Störung definiert ist, wenn eine Überwachungsrichtlinie im Tab Ticket Details definiert wird. In diesem Fall können Sie den zugewiesenen Techniker auswählen und es wird eine erstellt, die über die Ausstellung eines Tickets informiert. Manuell von der IT-Abteilung von der PCSM-Konsole aus: Hierbei handelt es sich gewöhnlich um Erinnerungen oder Aufgaben, die sich offiziell in die Warteschlange der Abteilung einordnen über Profillevel oder Systemlevel in der Tableiste, Support, durch Klicken auf Create Support Ticket Tickets, die auf dem Systemlevel erstellt wurden, haben kein zugeordnetes Profil und werden in keinem Profil angezeigt, das im PCSM-Konto erstellt wurde. 95

96 In diesem Fall können Sie den Schweregrad und den Inhalt des Tickets festlegen und es einem Techniker zuweisen, der den Störfall klären soll, oder es neu zuweisen. Ticketmanagement Tickets, die bereits erstellt wurden, werden über die Tableiste, Support auf dem Profil-, System- oder Gerätelevel verwaltet. Tickets, die auf niedrigeren Leveln erstellt wurden, werden auf höheren Leveln angezeigt. Wenn z. B. Tickets auf dem Gerätelevel erstellt wurden, erscheinen sie auf dem Profillevel, zu dem dieses Gerät gehört. Mit den Symbolen in der Aktionsleiste können Sie die Ticketliste filtern (Offene Tickets, Meine Tickets, Alle Tickets) oder ihren Status mit dem Stiftsymbol bearbeiten. Um den Schweregrad, den Status und den zugewiesenen Techniker zu ändern, klicken Sie auf Ticketnummer. 96

97 13. Patch-Management Was ist Patch-Management? Patch-Management ist eine Reihe von Ressourcen für die zentralisierte Bereitstellung und Installation von Patches und Softwareupdates. Patch-Management erleichtert nicht nur das tägliche Aktualisieren der Software auf Ihren Geräten. Außerdem können Sie sowohl Audits durchführen als auch schnell und einfach Geräte anzeigen, die nicht aktualisiert sind oder bekannte Schwachstellen haben. Mit Patch-Management kann der Administrator die Netzwerksicherheit stärken und Softwarefehler minimieren. Dadurch wird gewährleistet, dass alle Geräte mit den neuesten Patches aktualisiert sind. Patch-Management benutzt den Windows Update API auf allen Microsoft Windows Geräten, die von Panda Cloud Systems Management unterstützt werden. Patch-Management unterstützt Microsoft Windows Systeme. Welche Patches kann ich installieren/anwenden? Alle Patches und Updates, die von Microsoft über das Windows Update veröffentlicht werden, können zentral mit Panda Cloud Systems Management verwaltet werden. Microsoft veröffentlicht Updates für alle derzeit unterstützten Windows Betriebssysteme und für die von ihnen entwickelte Software: Microsoft Office Exchange 2003 SQL Server Windows Live Windows Defender Visual Studio Zune Software Virtual PC Virtual Server CAPICOM Microsoft Lync 97

98 Silverlight Windows Media Player Andere Patcheinsatz und -installation Panda Cloud Systems Management umfasst drei ergänzende Patch- Management-Methoden. Jede von ihnen hat verschiedene Funktionen, um sich an alle möglichen Bedürfnisse und/oder Szenarien anzupassen. Obwohl die drei Methoden ergänzend sind, werden einige Funktionen von allen geteilt. Wenn Sie verschiedene Patch-Management-Methoden gleichzeitig nutzen wollen, achten Sie besonders darauf, dass Sie keine sich überlappenden Prozesse definieren. Denn das Endergebnis kann je nach der festgelegten Reihenfolge variieren und dadurch kann es zu unvorhersehbaren Ergebnissen kommen. Die hier beschriebenen Prozeduren können mit anderen Prozessen kollidieren, die durch Software von Drittanbietern definiert wurden (z. B. Windows Update Richtlinien, die in einem GPO definiert sind). Es ist empfehlenswert, die Richtlinien von Drittanbietern zu deaktivieren, wenn diese die von Panda Cloud Systems Management festgelegten beeinträchtigen. Methode 1: Manuelles Patch-Management Allgemeine Beschreibung Mit der manuellen Patch-Veröffentlichung können Sie die zu installierenden Patches einzeln auszuwählen, je nach den vom Administrator angewandten Kriterien. Diese Methode ermöglicht eine sehr gute Übersicht, da alle bereits auf den einzelnen Geräten installierten Patches und die noch zu installierenden Patches jederzeit angezeigt werden. Die gruppierenden Level, die von dieser Methode unterstützt werden, sind: Systemlevel, Profillevel und Gerätelevel. Daher können Sie die Patches für ein bestimmtes Gerät (Gerätelevel), für eine bestimmte Gruppe (Profillevel) oder für alle auf PCSM registrierten Geräte (Systemlevel) auswählen. 98

99 Zugriff auf die manuelle Patch-Management-Methode Auf sie wird über die Tableiste, Manage, in den drei verfügbaren Leveln zugegriffen. Die verfügbaren Aktionen sind: - Patch genehmigen: durch Auswählen der Patches und Klicken auf das grüne Kreissymbol Nach dem Genehmigen einer Reihe von Patches warten diese auf die Installation. Genehmigte Patches werden manuell zu der in der Tableiste, Manage im Systemlevel festgelegten Zeit installiert. 99

100 Nur die Zeit, zu der genehmigte Patches manuell installiert werden, kann im Systemlevel festgelegt werden. Alle durch PCSM verwalteten Geräte werden die genehmigten, aber noch ausstehenden Patches zur festgelegten Zeit aktualisieren. - Patch verstecken: durch Auswählen der Patches und Klicken auf das blaue Kreissymbol - Sofort-Patch: durch Auswählen der Patches und Klicken auf das grüne Kreissymbol mit einem Pfeil. Die Patches werden sofort installiert, ohne auf die in Manage (Systemlevel) Einstellungen festgelegte Zeit zu warten. - Reset-Patch: durch Klicken auf das weiße Kreissymbol. Die ausgewählten Patches werden gelöscht. Patches anzeigen Alle von Microsoft im Laufe der Zeit veröffentlichten Patches werden in drei Dropdown-Listen gruppiert, je nach ihrem Status hinsichtlich des verwalteten Gerätes. Die drei Status sind: - Fehlende Patches: Patches, die noch nicht auf den zum ausgewählten Level gehörenden Geräten installiert wurden. Auf den höheren Leveln wird die Anzahl der Geräte, auf denen ein bestimmtes Patch nicht installiert ist, ebenfalls angezeigt. - Installierte Patches: Patches, die bereits auf dem ausgewählten Level installiert worden sind. Auf den höheren Leveln wird die Anzahl der Geräte, auf denen ein bestimmtes Patch installiert wurde, ebenfalls angezeigt. - Versteckte Patches: Patches, die der Administrator verstecken will, weil sie nicht angewendet werden müssen und eine Erinnerung somit nicht notwendig ist. Um die Suchen zu vereinfachen, sind ausführliche Informationen bei der Erweiterung jeder Kategorie verfügbar sowie eine Symbolleiste für das Filtern der Patchlisten. 100

101 Mit der Suchleiste können Sie die angezeigten Patches nach den folgenden Kriterien auswählen: - Schweregrad: der von Microsoft festgelegte Schweregrad: Kritisch, Wichtig, Mittelschwer, Niedrig, Nicht spezifiziert Microsoft spezifiziert nur den Schweregrad der Sicherheitspatches (Sicherheitsupdates). Die restlichen Patches haben im Allgemeinen einen nicht spezifizierten Schweregrad. - Neustart erforderlich? Wenn das Gerät nach Übernahme des Patches neu gestartet werden muss - Anwendereingabe erforderlich? Wenn Anwendereingaben erforderlich sind, um das Patch zu übernehmen - Kategorie: Sie können nach Patches suchen, die für ein spezielles Softwareprogramm gelten PCSM liefert die folgenden Informationen für jeden Eintrag: - Überprüfen: um das Patch auszuwählen - Aktionssymbol: Patches mit ausstehenden Aktionen erscheinen mit dem Kreissymbol in Grün - Titel: vollständiger Name des von Windows Update bereitgestellten Patches - Schweregrad: Wichtigkeit des von Windows Update bereitgestellten Patches (nur für Sicherheitsupdates) 101

102 - Größe: Größe des herunterzuladenden Patches, das von Windows Update bereitgestellt wird - Neustart: wenn der Neustart nach der Installation des Patches erforderlich ist - Anwendereingabe: ob eine Anwendereingabe zum Installieren des Patches erforderlich ist oder nicht (Dialogfenster, um EULAs und andere zu akzeptieren) Manuelle Patch-Management-Methode unter Benutzung von Szenarios Wenn der Administrator eine sehr genaue Überwachung der auf den verwalteten Geräten installierten Patches wünscht Methode 2: Windows-Update-Richtlinien Allgemeine Beschreibung Windows-Update-Richtlinien erlauben die zentralisierte Konfiguration der Windows- Update-Eigenschaften, die in den Windows-Geräten im Netzwerk integriert sind. Da es eine Richtlinie ist, sind die von dieser Methode unterstützten Gruppierungslevel das Systemlevel und das Profillevel. Zugriff auf die Windows-Update-Richtlinien-Methode Für den Zugriff auf diese Methode erstellen Sie eine Windows-Update-Richtlinie auf dem Profil- oder Systemlevel. 102

103 Eine Eingabemaske erscheint, in der Sie zentral das Verhalten von Windows Update auf allen von der Richtlinie betroffenen Geräten konfigurieren können. Windows-Update-Richtlinien werden auf die gleiche Art und Weise auf jedem einzelnen Windows-Gerät konfiguriert wie Windows-Update-Ressourcen. Windows Update unterteilt die Patches, die es erhält, in drei Kategorien: - Wichtig - Empfohlen - Optional Nur Wichtige und Empfohlene Patches können automatisch installiert werden. Die restlichen Patches werden manuell vom Gerät des Anwenders oder von PCSM aus unter Benutzung anderer Patch-Management-Methoden installiert. Alle Einstellungen in dieser Richtlinie sind eine Umsetzung der Funktionen von Windows Update auf Windows-Geräten. Alle festgelegten Aktionen beziehen sich deshalb auf die Geräte und nicht auf den PCSM-Agenten oder die PCSM-Konsole. 103

104 Obwohl die Richtlinieneinstellungen für alle Geräte dieselben sind, kann das Verhalten von Windows Update auf jedem Gerät leicht zwischen den verschiedenen Betriebssystemversionen variieren. Es folgen einige Richtlinienoptionen: - Ziel hinzufügen: Lässt Sie Filter oder Gruppen hinzufügen, die den Geltungsbereich der Anwendung der Richtlinie abgrenzen. - Patch-Richtlinie: bestimmt das allgemeine Verhalten von Windows Update auf jedem Gerät bezüglich der Patches, die von Microsoft als Wichtig eingestuft wurden: o Automatisch herunterladen und installieren o Manueller Download und Auswahl durch den Anwender o Benachrichtigung ohne Download o Windows Update deaktivieren - Neue Updates installieren: bestimmt, wann die Patches installiert werden - Gib mir empfohlene Updates genauso wie ich wichtige Updates erhalte: Wenden Sie die ausgewählte Richtlinie in der Patch-Richtlinie sowohl für Wichtige als auch für Empfohlene Patches an. - Erlaube allen Anwendern Updates auf dem Computer zu installieren: der Anwender kann die Patches manuell installieren - Gib mir Updates für Microsoftprodukte und suche beim Aktualisieren von Windows nach neuer optionaler Software von Microsoft: sucht nach optionalen Patches (meist Patches für andere Microsoftprodukte) - Zeige mir ausführliche Informationen, wenn neue Software von Microsoft verfügbar ist: dem Anwender werden ausführliche Informationen gezeigt, wenn neue Software von Microsoft verfügbar ist - Kein automatischer Neustart für geplante automatische Updateinstallationen bei eingeloggten Anwendern: Wenn diese Option gewählt wird, werden die Patches installiert und der Anwender wird über einen notwendigen Neustart informiert. Wenn diese Option nicht aktiviert ist, wird das Patch installiert und der Anwender wird darüber informiert, dass das Gerät in 5 Minuten neu starten wird. 104

105 - Erneute Aufforderung zum Neustart bei geplanten Installationen: Legen Sie fest, wann Windows Update den Anwender auffordert, das Gerät neu zu starten, wenn installierte Patches dies erfordern - Verzögerter Neustart für geplante Installationen: Legen Sie fest, wie lange das System nach der Installation der Patches bis zum Neustart wartet. Wenn nichts festgelegt ist, wird der Standardwert genutzt: 15 Minuten - WSUS: Sie können festlegen, ob ein lokaler oder entfernter Server für die Windows-Server-Update-Services genutzt werden soll, um das Herunterladen von einzelnen Patches von jedem Netzwerkgerät zu minimieren. - Client-side Targeting aktivieren: Wenn ein WSUS-Server mit aktiviertem Client-side Targeting benutzt wird, werden die Gruppen und Geräte, die er enthält, für die Zuordnung benutzt/ausgelesen. Mit diesem Parameter der Richtlinie können Sie durch Trennen mit einem Semikolon Gruppen bestimmen, zu denen das Gerät, für das die Richtlinie gilt, gehört. Wenn einige oder alle Geräte, die von der Windows-Update-Richtilinie betroffen sind, nicht mit den in den WSUS-Gruppen definierten Geräten übereinstimmen, gilt die Richtlinie für diese Geräte nicht. Szenarios für die Anwendung der Windows-Update-Richtlinie Wenn der Administrator eine Garantie dafür benötigt, dass alle wichtigen Patches automatisch auf allen Netzwerkgeräten installiert werden, ohne dass der Anwender den Prozess behindert Wenn der Administrator keine Kontrolle über jedes installierte Patch benötigt und Microsoft je nach der Einteilung der Patches in Wichtig oder Empfohlen mit der Installationsentscheidung beauftragen kann Wenn Patches als Optional eingestuft sind und nicht automatisch installiert werden müssen Methode 3: Patch-Management-Richtlinien Allgemeine Beschreibung Patch-Management-Richtlinien erlauben die automatische Installation von Patches auf ähnliche Art und Weise wie die Windows-Update-Richtlinien. Der Hauptunterschied liegt darin, wie die zu installierenden Patches klassifiziert sind. Während Sie mit der manuellen Methode jedes zu installierende Patch auswählen und mit der Windows-Update-Richtlinie die Patches je nach Level (Wichtig, Empfoh- 105

106 len oder Optional) installieren können, ermöglicht Ihnen die Patch-Management- Richtlinie, die zu installierenden Patches auf eine flexiblere Art einzuteilen: nach Name, Beschreibung, Größe, Art und anderen. Da es eine Richtlinie ist, sind die von dieser Methode unterstützten Einteilungslevel das Systemlevel und das Profillevel. Access-Patch-Management-Richtlinien-Methode Um auf diese Methode zuzugreifen, erstellen Sie eine Patch-Management-Richtlinie im Profillevel oder Systemlevel. Eine Eingabemaske erscheint, in der Sie das Verhalten des Patch-Managements zentral für alle von der erstellten Richtlinie betroffenen Geräte konfigurieren können. 106

107 Es folgen einige weniger offensichtliche Richtlinienoptionen: - Ziel hinzufügen: Sie können Filter oder Gruppen hinzufügen, die den Anwendungsbereich für die Richtlinie abgrenzt. - Zeitfenster: Sie können ein Patch-Installationszeitfenster definieren. Mittels des Installationszeitfensters können die Patch-Downloads installiert werden, damit die Datenleitung des Kunden nicht übermäßig beansprucht wird, indem man das Kontrollkästchen Zufällige Startzeit, um die Netzlast zu reduzieren auswählt. - Installationskriterien: Sie können alle veröffentlichten Patches, die das Gerät ohne Unterscheidung betreffen (Installiere alle Patches), installieren oder einen Filter definieren, der eines oder mehrere Kriterien erfüllt. Um ein Kriterium zu definieren: o Wählen Sie ein Feld in den veröffentlichten Informationen, die mit jedem zu filternden Patch verbunden sind (Field) o Wählen Sie eine Bedingung (Condition). Sie wird je nach Datentyp des ausgewählten Feldes variieren. o Wählen Sie den Suchbegriff (Search term). Er wird je nach Datentyp des ausgewählten Feldes variieren. Patch-Management-Richtlinien-Methode unter Benutzung von Szenarien Wenn der Administrator eine höhere Vielschichtigkeit benötigt, als die von der Windows-Update-Richtlinien-Methode angebotene Wenn der Administrator ausnahmslos alle Patches automatisch und zentral installieren muss 107

108 Methodenvergleichende Tabelle Methode Patchauswahl Automatisierung Konfigurationszeit Hoch Patch für Patch auswählen Manuelle Verwaltung Windows- Update- Richtlinie Patch- Management Niedrig Patchauswahl nach Wichtig und Empfohlen Moderat Patchauswahl über mehrfach konfigurierbare Kriterien Niedrig Erfordert manuelle und ständige Freigabe der Patches Hoch Die zu installierenden Patchgruppen werden auf einmal konfiguriert Hoch Nach dem Erstellen von Filtern werden die Patches automatisch installiert, wenn Microsoft sie veröffentlicht Hoch Manuelle Überprüfung aller veröffentlichten Patches und Auswahl Niedrig Auswählen, ob wichtige und optionale Patches installiert werden Moderat Die Filter zum Auswählen der zu installierenden Patches definieren Audits Der Manage-Tab im Profillevel oder Systemlevel zeigt auf einen Blick den Status des gesamten verwalteten Netzwerkes bezüglich der Patchanwendung. 108

109 Auswahlkriterien Die Auswahlkriterien (Alle Geräte, Server, Workstations) definieren einen Filter für alle Geräte in dem Profil (Manage im Profillevel) oder alle verwalteten Geräte (Manage im Systemlevel). Tortendiagramm Nachdem die Filterkriterien festgelegt wurden, wird das Tortendiagramm Folgendes zeigen: - Die Anzahl der Geräte mit unkritischen Updates, die nicht installiert sind (blau) - Die Anzahl der Geräte mit kritischen Updates, die nicht installiert sind (orange) - Die Anzahl der vollständig aktualisierten Geräte (grün) Liste der gefährdeten Geräte Durch Klicken auf einen der beiden Abschnitte im Tortendiagramm wird die Liste der gefährdeten Geräte aktualisiert. Die Liste der gefährdeten Geräte zeigt Informationen über die am meisten gefährdeten Geräte (kritische Updates oder unkritische Updates nicht installiert). Sie bietet auch verschiedene Verknüpfungen, um diese Situation aufzulösen: o Hostname: Geben Sie Gerätelevel für dieses spezielle Gerät ein, um genau zu sehen, welche Patches nicht installiert wurden und um die notwendigen zu genehmigen o Sofort-Patch: Installieren Sie sofort die durch die ausgewählten Kriterien bestimmten Patches: kritisch oder unkritisch, je nachdem, ob Sie den blauen oder orangefarbenen Abschnitt des Tortendiagramms angeklickt haben. 109

110 14. Benutzerkonten und Rollen Was ist ein Benutzerkonto? Ein Benutzerkonto ist eine Sammlung von Informationen, einschließlich der Anmeldedaten für den Zugriff auf die PCSM-Konsole und den PCSM-Agenten, die für die Verwaltung von Netzwerkgeräten benötigt werden. Benutzerkonten werden nur von IT-Administratoren benutzt, welche die von Panda Cloud Systems Management angebotenen Services nutzen wollen. Im Allgemeinen hat jeder IT-Administrator ein einziges Benutzerkonto. Die Anwender der Geräte benötigen kein Benutzerkonto, da sie keinen Zugriff auf die PCSM-Konsole haben. Der auf ihren Geräten installierte PCSM- Agent wird im Überwachungsmodus automatisch konfiguriert. Im Gegensatz zum restlichen Handbuch, wo der Anwender die Person ist, die das mit Hilfe von Panda Cloud Systems Management verwaltete Gerät benutzt, kann sich Anwender in diesem Kapitel auf ein Benutzerkonto oder Zugriffskonto für die PCSM-Konsole beziehen. Was ist eine Rolle? Eine Rolle ist eine spezielle Berechtigungskonfiguration für den Zugriff auf die PCSM-Konsole, die für ein oder mehrere Benutzerkonten gilt. Dies autorisiert einen bestimmten Administrator, gewisse Ressourcen anzusehen oder zu modifizieren, je nachdem zu welcher Rolle das verwendete Benutzerkonto gehört. Ein oder mehrere Benutzerkonten können zu einer oder zu mehreren Rollen gehören. Rollen können nur das Zugriffslevel der IT-Administratoren auf PCSM- Konsolen-Ressourden zum Verwalten der Netzwerkgeräte beeinflussen. Andere Gerätenutzer werden nicht beeinflusst. 110

111 Warum sind Rollen notwendig? In einer kleinen IT-Abteilung greifen alle Techniker als Administratoren ohne Einschränkungen auf die PCSM-Konsole zu. In einer mittelgroßen oder großen IT- Abteilung oder bei Partnern mit vielen Kunden, könnte der Zugriff auf die Geräte jedoch aufgeteilt werden müssen, und zwar nach den drei folgenden Kriterien: Die Anzahl der zu verwaltenden Geräte In mittelgroßen/großen Netzwerken oder Netzwerken, die zu Büros desselben Unternehmens oder zu verschiedenen Kunden desselben Partners gehören, könnte es notwendig sein, Geräte zu installieren und diese Technikern zuzuweisen. Dadurch wären die von einem bestimmten Techniker verwalteten Geräte eines Büros für die anderen Techniker nicht sichtbar. Es könnte auch beschränkten Zugriff auf sensible Daten bestimmter Kunden geben, was eine genaue Kontrolle der Techniker erfordert, welche die Geräte mit diesen Daten betreuen. Der Zweck der zu verwaltenden Geräte Je nach der Funktion eines Gerätes kann ein auf diesem Gebiet sachkundiger Techniker zugeordnet werden. Eine Gruppe spezialisierter Techniker könnte z. B. dem Datenbankserver eines oder aller vom Partner verwalteten Kunden zugeordnet werden. Auf die gleiche Weise wären andere Dienste wie z. B. die Mailserver für diese Gruppe nicht sichtbar. Technisches Wissen Abhängig vom Wissen der Techniker und ihrer Rolle in der IT-Abteilung benötigen sie eventuell nur Zugriff auf Überwachung/Überprüfung (nur lesen) oder erweiterte Zugriffsrechte, wie z. B. die Modifikation von Gerätekonfigurationen. Die drei Kriterien können sich überschneiden und so eine sehr leistungsstarke Konfigurationsmatrix schaffen, die leicht zu definieren und zu pflegen ist. Sie können somit die für jeden Techniker zugänglichen Funktionen der PCSM-Konsole je nach seinem Profil und seiner Verantwortung begrenzen. Die Rolle des Accountadmin Eine Panda Cloud Office Protection Lizenz hat eine Standardkontrollrolle, genannt accountadmin. Der Standard-Administrationsaccount gehört zu dieser Rolle und er erlaubt die Ausführung absolut jeder auf der PCSM-Konsole verfügbaren Aktion. Accountadmin ist außerdem die einzige Rolle, die neue Rollen und Anwender erstellen und bestehende Rollen modifizieren kann. 111

112 Die Rolle Accountadmin kann nicht vom PCSM-Server gelöscht werden. Jedes Benutzerkonto kann zu dieser Rolle gehören, nachdem es durch die PCSM-Konsole zugeordnet wurde. Alle in diesem Kapitel beschriebenen Prozeduren erfordern ein Konto, das zur Rolle Accountadmin gehört. Zugriff auf das Benutzerkonto und Rollenkonfiguration Im Allgemeinen Menü, Konto, gibt es zwei Einträge in Verbindung mit der Verwaltung von Rollen und Benutzerkonten: Benutzer: neue Benutzerkonten erstellen und festlegen, ob sie zu einer oder verschiedenen Rollen gehören Rollen: neue Einstellungen für den Zugriff auf die Ressourcen von Panda Cloud Systems Management erstellen und modifizieren Auf die Tabs Benutzer und Rollen kann nur zugegriffen werden, wenn der Benutzer zu der speziellen Rolle Accountadmin gehört. Benutzerkonten erstellen und konfigurieren Im Allgemeinen Menü Konto, Benutzer können Sie alle notwendigen Aktionen, die mit der Erstellung und Modifizierung von Benutzerkonten verbunden sind, ausführen. 112

113 Neues Benutzerkonto hinzufügen: Klicken Sie auf Benutzer hinzufügen, um einen neuen Benutzer hinzuzufügen. Legen Sie ein Passwort fest, bestimmen Sie die Rolle/Rollen, zu der/denen es gehört und definieren Sie das dazugehörige Sicherheitslevel (von 1 bis 5). Durch das zu einem Benutzer gehörende Sicherheitslevel können Sie den Zugriff auf die Komponenten beschränken, die mit einem höheren Sicherheitslevel entwickelt oder aus dem ComStore heruntergeladen wurden. Ein Benutzerkonto bearbeiten: Wenn Sie auf den Benutzernamen klicken, erscheint ein Formular mit allen Kontoinformationen. Benutzerkonten löschen oder sperren: Wählen Sie die Benutzer aus, indem Sie die dazugehörigen Kontrollkästchen markieren und klicken Sie in der Aktionsleiste auf die Icons Verboten und Streichen Erlaubnis für totale Kontrolle zuweisen: Klicken Sie AN/AUS im Account Admin Ein Benutzerkonto kann zu einer oder mehreren Rollen gehören. In letzterem Fall zeigt die PCSM-Konsole eine Dropdown-Liste an, über die Sie die Rolle wählen können, mit der das Benutzerkonto arbeiten soll. 113

114 Rollen erstellen und konfigurieren Im Allgemeinen Menü Konto, Benutzer können Sie alle notwendigen Aktionen ausführen, die mit der Erstellung und Modifizierung von Rollen verbunden sind. Neue Rolle hinzufügen: Klicken Sie auf Rolle hinzufügen, um eine neue Rolle hinzuzufügen. Sie werden aufgefordert, den Namen einzugeben und ob Sie als Grundlage eine leere/muster-konfiguration benutzen wollen oder ob die neue Rolle auf einer vorherigen Rolle basieren soll. Eine Rolle bearbeiten: Wenn Sie auf einen Rollennamen oder das Bleistiftsymbol klicken, erscheint ein Formular mit allen Einstellungen. Eine Rolle löschen: Mit dem X-Symbol löschen Sie die ausgewählte Rolle. Falls Benutzerkonten beim Löschvorgang einer Rolle zugeordnet sind, werden Sie aufgefordert, diesen Konten eine neue Rolle zuzuweisen. Rollen konfigurieren Die Konfiguration einer Rolle ist in 4 Abschnitte eingeteilt: Gerätesichtbarkeit: ermöglicht oder beschränkt den Zugriff auf Gerätegruppen Berechtigungen: ermöglicht oder beschränkt den Zugriff auf die Funktionen der PCSM-Konsole Agent-Browser-Tools: ermöglichen oder beschränken den Zugriff auf die Funktionen des PCSM-Agenten Zugehörigkeit: bestimmt die Benutzerkonten, die zu der konfigurierten Rolle gehören 114

115 Gerätesichtbarkeit Mit dieser Konfigurationsgruppe können Sie die zu einer bestimmten Rolle gehörenden Netzwerkgeräte bestimmen, die für die Nutzer der PCSM-Konsole sichtbar sein werden. Sie können den Zugriff auf die vier statischen Gruppen, die in PCSM verfügbar sind, erlauben: Profile Profilgerätegruppen Systemgerätegruppen Systemprofilgruppen Sie können den Zugriff auf dynamische Gruppen, wie z. B. Filter, erlauben. Mit jeder von ihnen können Sie bestimmen, ob die Gerätegruppen (von einem Administrator erstellt und Typ festgelegt) in einer bestimmten Rolle zugänglich sein werden oder nicht. Wenn Sie auf ON klicken, erscheint ein Konfigurationspanel. Eine Gruppe, die im Textfeld Include aufgeführt ist, wird für alle zu dieser Rolle gehörenden Benutzerkonten sichtbar sein. Wenn die Gruppe im Textfeld Exclude aufgeführt ist, wird diese Gerätegruppe in der PCSM-Konsole nicht sichtbar sein. 115

116 Berechtigungen Berechtigungen bestimmen das Zugangslevel für jeden der Haupttabs in der PCSM- Konsole: System Profile Komponenten ComStore Jobs Reports Konto Es gibt drei Zugangslevel: Deaktiviert Zeigen Verwalten Wenn Sie auf ON klicken, können Sie jede Kategorie einzeln definieren. Der Inhalt jeder Kategorie im Abschnitt Berechtigungen ist eine Umsetzung der in der PCSM- Konsole angezeigten Optionen und des Zugangslevels, das für jede Option eingestellt werden kann. Wenn Sie im Allgemeinen Menü beispielsweise auf Profile klicken, können Sie die entsprechenden Tabs in der PCSM-Konsole überprüfen. 116